文档

AEM作者登录端点上缺少Content-Security-Policy标头

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

AEM as a Cloud Service作者登录端点不包含Content-Security-Policy (CSP)标头,安全扫描通常将其标记为问题。 本文解释了为何缺少CSP标头,并根据当前产品行为描述了解决发现问题的建议操作。

描述 description

环境

  • 产品: Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • 约束:适用于创作环境,特别是登录UI端点

问题/症状

  • 安全扫描会检测到作者登录URL上不存在CSP HTTP标头。
  • 查找结果出现在URL上,例如/libs/granite/core/content/login.html
  • 扫描目标管理页面或内部页面,而不是面向公众的应用程序页面。

解决方法 resolution

注意:没有为AEM as a Cloud Service作者登录UI启用CSP标头的产品切换器或配置。 除非您的治理标准需要更严格的操作,否则请将这些端点上缺少的CSP标头视为信息性的。

  1. 了解AEM as a Cloud Service中是否存在为现成的AEM创作登录UI启用CSP的受支持方法。
  2. 认识到CSP是一种纵深防御措施,没有在这些端点使用它并不表示产品易受到攻击。
  3. 查看您组织的内部管理URL治理和安全要求。
  4. 如果您的管理允许这样做,请从外部评分扫描中排除内部作者或管理员URL。 或者,接受此发现为低风险,因为身份验证、网络控制和其他XSS缓解措施会保护这些端点。
  5. 向您的安全团队验证排除URL或接受风险是否符合您的策略。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f