설명서

AEM 작성자 로그인 엔드포인트에 Content-Security-Policy 헤더 누락

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

AEM as a Cloud Service 작성자 로그인 엔드포인트에는 보안 검색에서 주로 문제로 플래그를 지정하는 CSP(콘텐츠 보안 정책) 헤더가 포함되지 않습니다. 이 문서에서는 CSP 헤더가 누락된 이유를 설명하고 현재 제품 동작에 따라 검색 결과를 해결하기 위한 권장 작업을 설명합니다.

설명 description

환경

  • 제품: Adobe Experience Manager as a Cloud Service(AEMaaCS) - Assets
  • 제약 조건: 작성자 환경, 특히 로그인 UI 끝점에 적용됩니다.

문제/증상

  • 보안 검색은 CSP HTTP 헤더가 작성자 로그인 URL에 없음을 감지합니다.
  • 결과는 /libs/granite/core/content/login.html과(와) 같은 URL에 나타납니다.
  • 공개 애플리케이션 페이지가 아닌 대상 관리 페이지 또는 내부 페이지를 검색합니다.

해결 방법 resolution

참고: AEM as a Cloud Service 작성자 로그인 UI에 대해 CSP 헤더를 활성화하는 제품 스위치 또는 구성이 없습니다. 거버넌스 표준에 더 엄격한 작업이 필요하지 않는 경우 이러한 끝점에 대한 누락된 CSP 헤더를 정보 제공으로 취급합니다.

  1. 지원되는 방법 없음 을 통해 AEM as a Cloud Service의 기본 AEM Author 로그인 UI에 대한 CSP를 사용할 수 있습니다.
  2. CSP는 심층적인 방어 수단으로 사용되며 이러한 종단점에 CSP가 없다는 것은 제품 취약점을 나타내지 않습니다.
  3. 내부 관리 URL에 대한 조직의 거버넌스 및 보안 요구 사항을 검토하십시오.
  4. 거버넌스에서 허용하는 경우 내부 작성자 또는 관리자 URL을 외부 채점 스캔에서 제외합니다. 또는 인증, 네트워크 제어 및 기타 XSS 완화가 이러한 끝점을 보호하기 때문에 검색 결과를 낮은 위험으로 받아들입니다.
  5. URL을 제외하거나 위험을 수락하는 것이 정책에 부합하는지 보안 팀과 확인합니다.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f