ドキュメント

AEM オーサーログインエンドポイントに Content-Security-Policy ヘッダーがない

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

AEM as a Cloud Service オーサーログインエンドポイントには Content-Security-Policy (CSP)ヘッダーが含まれていません。このヘッダーは、多くの場合、セキュリティスキャンで問題として示されます。 この記事では、CSP ヘッダーが見つからない理由を説明し、現在の製品の動作に従って結果に対処するために推奨されるアクションについて説明します。

説明 description

環境

  • Product:Adobe Experience Manager as a Cloud Service(AEMaaCS) – Assets
  • 制約 :オーサー環境、特にログイン UI エンドポイントに適用されます

問題/症状

  • セキュリティスキャンは、CSP HTTP ヘッダーがオーサーログイン URL に存在しないことを検出します。
  • 結果は、/libs/granite/core/content/login.html などの URL に表示されます。
  • 公開アプリケーションページではなく、ターゲットの管理ページまたは内部ページをスキャンします。

解決策 resolution

注意:AEM as a Cloud Service オーサーログイン UI 用の CSP ヘッダーを有効にする製品スイッチや設定はありません。 ガバナンス標準でより厳格なアクションが必要ない場合を除き、これらのエンドポイントで欠落している CSP ヘッダーを情報提供として扱います。

  1. AEM as a Cloud Serviceの標準AEM オーサーログイン UI で CSP を有効にする方法はサポートされていません。
  2. CSP は詳細な防御手段として機能し、これらのエンドポイントに CSP がないことは製品の脆弱性を表すものではないことを認識してください。
  3. 内部管理 URL に関する組織のガバナンスとセキュリティの要件を確認します。
  4. ガバナンスが許可している場合は、外部スコアリングスキャンから内部のオーサー URL または管理者 URL を除外します。 または、認証、ネットワーク制御、その他の XSS 対策によってこれらのエンドポイントが保護されるので、この結果はリスクが低いものとして受け入れます。
  5. URL を除外するか、リスクを受け入れることがポリシーに従っていることを、セキュリティチームに確認します。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f