Documentación

Falta el encabezado Content-Security-Policy en los extremos de inicio de sesión de Autor de AEM

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Los extremos de inicio de sesión de Autor de AEM as a Cloud Service no incluyen un encabezado de Política de seguridad de contenido (CSP), que los análisis de seguridad suelen marcar como un problema. Este artículo explica por qué falta el encabezado CSP y describe las acciones recomendadas para abordar el hallazgo de acuerdo con el comportamiento actual del producto.

Descripción description

Entorno

  • Producto: Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • Restricciones: se aplica al entorno de creación, específicamente a los extremos de las interfaces de usuario de inicio de sesión

Problema/Síntomas

  • Los análisis de seguridad detectan que el encabezado HTTP CSP está ausente en las direcciones URL de inicio de sesión del autor.
  • Los resultados aparecen en direcciones URL como /libs/granite/core/content/login.html.
  • Analiza páginas administrativas o internas de destino en lugar de páginas de aplicaciones públicas.

Resolución resolution

Nota: no hay ningún modificador o configuración de producto que habilite encabezados CSP para la interfaz de usuario de inicio de sesión del Autor de AEM as a Cloud Service. Trate el encabezado CSP que falta en estos extremos como informativo a menos que los estándares de gobernanza requieran una acción más estricta.

  1. Tenga en cuenta que ningún método admitido habilita el CSP para la interfaz de usuario de inicio de sesión de autor de AEM predeterminada en AEM as a Cloud Service.
  2. Reconocer que el CSP actúa como una medida de defensa en profundidad y su ausencia en estos extremos no representa una vulnerabilidad del producto.
  3. Revise los requisitos de gobernanza y seguridad de su organización para las URL administrativas internas.
  4. Si su administración lo permite, excluya las URL de autor o administrador internas de los análisis de puntuación externos. También puede aceptar el resultado como de bajo riesgo, ya que la autenticación, los controles de red y otras mitigaciones XSS protegen estos extremos.
  5. Compruebe con su equipo de seguridad que la exclusión de las direcciones URL o la aceptación del riesgo se ajustan a su directiva.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f