我们使用 ZAP 2.8 扫描使用 IdentityServer4 实现的 Angular Web 应用程序(隐式流程)。
它生成了通配符指令警报(如下所示),我不确定这是否是安全问题。
如果是安全问题,我们该怎么办? OpenID Connect session 管理端点不是我们应用程序的一部分,它是 IdentityServer4 内置功能。有什么建议么?谢谢
中(中)CSP 扫描仪:通配符指令 描述 以下指令要么允许通配符源(或祖先),要么未定义,要么定义过于广泛:frame-ancestor
网址 https://server103.abc.com:54231/services.identity/connect/checksession
方法获取
参数内容-安全-策略
证据default-src 'none';脚本-src 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I='
最佳答案
问题是 frame-ancestors 未定义。
每:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
default-src fallback No. Not setting this allows anything.
因此,即使您确实定义了 default-src,frame-ancestors 也不会回退到它,因此由于未指定它,它会接受任何内容。
这是否是一个问题取决于您(或控制其他组件的人)。
关于identityserver4 - CSP扫描仪: Wildcard Directive alert for OpenID Connect session management endpoint,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58536555/