ZAP扫描报告-通配符指令，样式-src不安全-内联，脚本-src不安全-内联

Question

​

当使用OWASP进行扫描时，报告显示以下为中等风险：

Directive

• style-src unsafe-inline

• script-src

1. 通配符不安全-内联

如何在服务器上解决此问题？

Answer 1

你看过ZAP报告的所有内容了吗？应该有比这更多的信息。

对于不安全的内联发现，您需要从CSP中删除这些元素，并将所有内联样式和脚本从HTML中移到外部文件中。我会把重点放在内联脚本上，因为它们更值得关注。

Answer 2

为解决通配符指令问题，CSP头中的所有标头都设置为add_header内容--安全性-策略“默认-src 'none'；脚本-src 'self'；样式-src 'self‘-内联’；字体-src 'self'；连接-src 'self'；img-src 'self'；框架-src 'none'；框架祖先'none'；媒体-src 'none'；对象-src 'none'；清单-src 'none'；工作者-src 'none'；预取-src 'none'；表单-src 'none‘总是；