Documentation

L’en-tête Content-Security-Policy est manquant sur les points d’entrée de connexion Auteur AEM.

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Les points d’entrée de connexion de l’auteur AEM as a Cloud Service n’incluent pas d’en-tête Content-Security-Policy (CSP), que les analyses de sécurité signalent souvent comme un problème. Cet article explique pourquoi l’en-tête CSP est manquant et décrit les actions recommandées pour résoudre le problème en fonction du comportement actuel du produit.

Description description

Environnement

  • Produit : Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • Contraintes : s’applique à l’environnement de création, en particulier aux points d’entrée de l’interface utilisateur de connexion

Problème/Symptômes

  • Les analyses de sécurité détectent l’absence d’en-tête HTTP CSP sur les URL de connexion de l’auteur.
  • Les résultats apparaissent sur des URL telles que /libs/granite/core/content/login.html.
  • Les analyses ciblent les pages administratives ou internes plutôt que les pages d’application accessibles au public.

Résolution resolution

Remarque: il n’existe aucun changement de produit ou configuration permettant d’activer les en-têtes CSP pour l’interface utilisateur de connexion de l’auteur AEM as a Cloud Service. Traitez l’en-tête CSP manquant sur ces points d’entrée comme informatif, sauf si vos normes de gouvernance nécessitent une action plus stricte.

  1. Sachez qu’aucune méthode prise en charge n’active la CSP pour l’interface utilisateur de connexion de création AEM prête à l’emploi dans AEM as a Cloud Service.
  2. Reconnaissez que la CSP agit comme une mesure de défense en profondeur et que son absence sur ces points d’entrée ne représente pas une vulnérabilité du produit.
  3. Passez en revue les exigences de gouvernance et de sécurité de votre organisation pour les URL d’administration internes.
  4. Si votre gouvernance le permet, excluez les URL internes de création ou d’administration des analyses de notation externes. Vous pouvez également accepter le résultat comme étant à faible risque, car l’authentification, les contrôles réseau et d’autres mesures d’atténuation XSS protègent ces points d’entrée.
  5. Vérifiez auprès de votre équipe de sécurité que l’exclusion des URL ou l’acceptation du risque s’aligne sur votre politique.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f