内容-安全-策略框架-祖先HTTP响应头缺失或允许

Question

我在ALB下有几个web实例，最近做了一次渗透测试。其中一个漏洞是“缺少或允许内容-安全-策略框架-祖先HTTP响应头”。

建议的补救措施：

我建议为所有请求的资源设置一个不允许的Content-Security-Policy frame-ancestors头。

这是否意味着我必须在ALB端切换我的内容安全策略？

我现在使用的是ELBSecurity-Policy-TLS-1-2-2017-01。

Answer 1

的其中一个漏洞是“缺少或允许内容-安全-策略框架-祖先HTTP响应头”。

这仅仅意味着你的web实例可以嵌入到第三方iframe中。只有你才能决定它是否易受攻击。也许你的web实例提供了一些可以在其他站点内嵌入的小部件。

如果你只是想阻止网站被嵌入到iframe中，Content-Security-Policy不是强制性的。您可以使用具有相同功能的X-Frame-Options: sameorigin HTTP header。