Content-Security-Policy header ontbreekt op aanmeldingspunten voor AEM-auteurs
De AEM as a Cloud Service-aanmeldingspunten voor auteurs bevatten geen CSP-header (Content-Security-Policy), die door de beveiliging vaak als een probleem wordt gescand. In dit artikel wordt uitgelegd waarom de CSP-header ontbreekt en worden de aanbevolen acties beschreven om de bevinding aan te pakken aan de hand van het huidige productgedrag.
Beschrijving description
Omgeving
- Product : Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
- Beperkingen : is op het milieu van de Auteur, specifiek login UI eindpunten van toepassing
Probleem/symptomen
- Beveiligingsscans detecteren dat de CSP HTTP-header afwezig is in aanmeldings-URL's van auteurs.
- Bevindingen verschijnen op URLs zoals
/libs/granite/core/content/login.html. - Scans richt administratieve of interne pagina's eerder dan openbaar-onder ogen ziet toepassingspagina's.
Resolutie resolution
Nota: Er is geen productschakelaar of configuratie die CSP kopballen voor login UI van de Auteur van AEM as a Cloud Service toelaat. Behandel de ontbrekende CSP-header op deze eindpunten als informatie, tenzij uw governancenormen striktere actie vereisen.
- Begrijp dat geen gesteunde methode CSP voor de uit-van-de-doos login UI van de Auteur van AEM in AEM as a Cloud Service toelaat.
- Erkennen dat CDV als een diepgaande maatregel fungeert en dat het ontbreken ervan op deze eindpunten geen kwetsbaarheid voor producten vormt.
- Controleer de beheer- en beveiligingsvereisten van uw organisatie voor interne administratieve URL's.
- Als uw bestuur dit toestaat, sluit interne auteur of admin URLs van externe scoring uit. Alternatief, keur het vinden als laag risico goed omdat de authentificatie, netwerkcontroles, en andere verzachtende XSS deze eindpunten beschermen.
- Controleer bij het beveiligingsteam of het uitsluiten van de URL's of het accepteren van het risico is afgestemd op uw beleid.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f