文件

AEM作者登入端點上缺少Content-Security-Policy標頭

Last update: Fri Feb 13 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

AEM as a Cloud Service作者登入端點不包含Content-Security-Policy (CSP)標題,安全掃描通常會將其標示為問題。 本文說明缺少CSP標頭的原因,並介紹根據目前產品行為處理發現的建議動作。

說明 description

環境

  • 產品: Adobe Experience Manager as a Cloud Service (AEMaaCS) - Assets
  • 限制:適用於作者環境,尤其是登入UI端點

問題/症狀

  • 安全性掃描會偵測到作者登入URL上沒有CSP HTTP標頭。
  • 發現專案出現在URL上,例如/libs/granite/core/content/login.html
  • 掃描目標管理或內部頁面,而不是公開顯示的應用程式頁面。

解決方法 resolution

注意:沒有產品切換器或設定可為AEM as a Cloud Service作者登入UI啟用CSP標頭。 除非您的治理標準需要更嚴格的動作,否則請將這些端點上遺失的CSP標頭視為資訊。

  1. 瞭解AEM as a Cloud Service中沒有支援的方法可讓CSP用於現成可用的AEM作者登入UI。
  2. 認識到CSP可作為深入防禦措施,而且沒有在這些端點上使用並不表示產品漏洞。
  3. 檢閱組織的內部管理URL治理和安全要求。
  4. 如果您的治理允許,請從外部評分掃描中排除內部作者或管理員URL。 或者,將結果接受為低風險,因為驗證、網路控制及其他XSS緩解會保護這些端點。
  5. 向您的安全性團隊確認排除URL或接受風險符合您的原則。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f