Documentação

Cabeçalho Content-Security-Policy ausente nos pontos de extremidade de logon do autor do AEM

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Os pontos de acesso de logon do Autor do AEM as a Cloud Service não incluem um cabeçalho de Política de segurança de conteúdo (CSP), que as verificações de segurança geralmente sinalizam como um problema. Este artigo explica por que o cabeçalho da CSP está ausente e descreve as ações recomendadas para abordar a descoberta de acordo com o comportamento atual do produto.

Descrição description

Ambiente

  • Produto: Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • Restrições: aplica-se ao ambiente do autor, especificamente aos pontos de extremidade da interface do usuário de logon

Problema/Sintomas

  • As verificações de segurança detectam que o cabeçalho HTTP da CSP está ausente nos URLs de logon do autor.
  • Encontros aparecem em URLs como /libs/granite/core/content/login.html.
  • Digitaliza páginas administrativas ou internas de destino em vez de páginas de aplicativos voltados ao público.

Resolução resolution

Observação: não há opções ou configurações de produto que habilitem cabeçalhos CSP para a interface de logon do Autor do AEM as a Cloud Service. Trate o cabeçalho da CSP ausente nesses endpoints como informativo, a menos que seus padrões de governança exijam uma ação mais rigorosa.

  1. Entenda que nenhum método compatível habilita a CSP para a interface do usuário de logon do autor do AEM predefinida no AEM as a Cloud Service.
  2. Reconhecer que a CSP atua como uma medida de defesa em profundidade e que sua ausência nesses endpoints não representa uma vulnerabilidade do produto.
  3. Revise os requisitos de governança e segurança de sua organização para URLs administrativos internos.
  4. Se sua governança permitir, exclua URLs internos do autor ou do administrador das verificações de pontuação externas. Como alternativa, aceite a descoberta como de baixo risco, pois a autenticação, os controles de rede e outras mitigações de XSS protegem esses endpoints.
  5. Verifique com a equipe de segurança se a exclusão dos URLs ou a aceitação do risco está alinhada à sua política.
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f