Dokumentation

Die Kopfzeile „Content-Security-Policy“ fehlt auf den Anmeldungsendpunkten der AEM-Autoreninstanz

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Die AEM as a Cloud Service-Autoren-Anmeldeendpunkte enthalten keine Kopfzeile für die Content-Security-Policy (CSP), die bei Sicherheitsüberprüfungen häufig als Problem markiert wird. In diesem Artikel wird erläutert, warum die CSP-Kopfzeile fehlt, und es werden die empfohlenen Aktionen beschrieben, um die Suche entsprechend dem aktuellen Produktverhalten zu beheben.

Beschreibung description

Umgebung

  • Produkt: Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • Einschränkungen: Gilt für die Autorenumgebung, insbesondere für Endpunkte der Anmelde-Benutzeroberfläche

Problem/Symptome

  • Die Sicherheitsprüfungen erkennen, dass der CSP-HTTP-Header in den Autoren-Login-URLs fehlt.
  • Die Ergebnisse werden in URLs wie /libs/granite/core/content/login.html angezeigt.
  • Scans zielen auf administrative oder interne Seiten ab, anstatt auf öffentlich zugängliche Anwendungsseiten.

Lösung resolution

Hinweis: Es gibt keinen Produktwechsel oder keine Konfiguration, die CSP-Kopfzeilen für die AEM as a Cloud Service Author-Anmelde-Benutzeroberfläche aktiviert. Behandeln Sie den fehlenden CSP-Header für diese Endpunkte als informativ, es sei denn, Ihre Governance-Standards erfordern strengere Maßnahmen.

  1. Verstehen Sie, dass keine unterstützte Methode CSP für die vorkonfigurierte AEM Author-Anmelde-Benutzeroberfläche in AEM as a Cloud Service aktiviert.
  2. Erkennen Sie, dass CSP als umfassende Verteidigungsmaßnahme dient und sein Fehlen auf diesen Endpunkten keine Produktanfälligkeit darstellt.
  3. Überprüfen Sie die Governance- und Sicherheitsanforderungen Ihres Unternehmens für interne administrative URLs.
  4. Wenn Ihre Governance dies zulässt, schließen Sie interne Autoren- oder Admin-URLs von externen Scoring-Scans aus. Sie können die Suche auch als risikoarm akzeptieren, da diese Endpunkte durch Authentifizierung, Netzwerksteuerungen und andere XSS-Minimierungen geschützt sind.
  5. Vergewissern Sie sich bei Ihrem Sicherheits-Team, dass das Ausschließen der URLs oder das Akzeptieren des Risikos mit Ihrer Richtlinie übereinstimmt.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f