Documentazione

Intestazione Content-Security-Policy mancante negli endpoint di accesso di AEM Author

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Gli endpoint di accesso di AEM as a Cloud Service Author non includono un’intestazione Content-Security-Policy (CSP), che le scansioni di sicurezza spesso segnalano come un problema. Questo articolo spiega perché manca l’intestazione CSP e descrive le azioni consigliate per risolvere il problema in base al comportamento corrente del prodotto.

Descrizione description

Ambiente

  • Prodotto: Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • Vincoli: si applica all'ambiente di authoring, in particolare agli endpoint dell'interfaccia utente di accesso

Problema/Sintomi

  • Le analisi di sicurezza rilevano che l’intestazione HTTP CSP è assente negli URL di accesso dell’autore.
  • I risultati vengono visualizzati in URL quali /libs/granite/core/content/login.html.
  • Analizza le pagine amministrative o interne di destinazione anziché le pagine di applicazioni rivolte al pubblico.

Risoluzione resolution

Nota: non esiste un cambiamento di prodotto o una configurazione che abilita le intestazioni CSP per l'interfaccia utente di accesso di AEM as a Cloud Service Author. Considera l’intestazione CSP mancante su questi endpoint come informativa, a meno che gli standard di governance non richiedano un’azione più severa.

  1. Nessun metodo supportato abilita i CSP per l’interfaccia utente di accesso preconfigurata di AEM Author in AEM as a Cloud Service.
  2. Riconoscere che i CSP fungono da misura di difesa in profondità e che la loro assenza su questi endpoint non rappresenta una vulnerabilità del prodotto.
  3. Esamina i requisiti di governance e sicurezza della tua organizzazione per gli URL amministrativi interni.
  4. Se la tua governance lo consente, escludi gli URL interni di authoring o amministrazione dalle scansioni con punteggio esterno. In alternativa, accetta il risultato come a basso rischio perché l’autenticazione, i controlli di rete e altre mitigazioni XSS proteggono questi endpoint.
  5. Verifica con il tuo team di sicurezza che l’esclusione degli URL o l’accettazione del rischio sia in linea con la tua policy.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f