Intestazioni di sicurezza mancanti e HTTPS non applicato nei domini personalizzati Dynamic Media in Adobe Experience Manager
Le valutazioni della sicurezza contrassegnano i domini personalizzati di AEM Dynamic Media per le intestazioni di sicurezza mancanti e per consentire l’accesso HTTP. Questo articolo descrive come vengono implementate queste intestazioni e come il traffico HTTP viene reindirizzato a HTTPS per proteggere gli endpoint Dynamic Media.
Descrizione description
Ambiente
- Prodotto: Adobe Experience Manager Dynamic Media/Scene7
- Istanza: Produzione
Problema/Sintomi
Sui domini personalizzati Dynamic Media si verificano i seguenti problemi:
- Intestazione
Content-Security-Policymancante nelle risposte HTTP. - Intestazione
X-Content-Type-Optionsmancante. - L'intestazione
HTTP Strict Transport Security (HSTS)non è abilitata o configurata. - Le richieste HTTP non vengono reindirizzate a HTTPS, consentendo l’accesso non sicuro.
Risoluzione resolution
Per risolvere il problema, effettua le seguenti operazioni:
-
Esamina le intestazioni di risposta correnti per i domini personalizzati Dynamic Media inviando una richiesta a un URL di immagine tramite HTTP e HTTPS.
-
Conferma che le seguenti intestazioni siano presenti nella risposta:
Content-Security-PolicyX-Content-Type-OptionsStrict-Transport-Security (HSTS)
-
Assicurati che ogni richiesta HTTP riceva un reindirizzamento 301 all’URL HTTPS equivalente.
-
Se mancano intestazioni o le richieste HTTP non vengono reindirizzate, contatta il supporto Adobe con il nome dell’account Dynamic Media e i dettagli del dominio interessati.
-
Dopo che Adobe Engineering ha aggiornato la configurazione, ripeti il passaggio 1 per verificare che siano presenti tutte le intestazioni di sicurezza richieste e che tutto il traffico venga applicato su HTTPS.
Note: l'implementazione di questi controlli di sicurezza richiede il coordinamento con il supporto Adobe e i team tecnici. Le configurazioni del dominio personalizzato variano a seconda della configurazione dell’account.