CSP扫描器:用于OpenID连接会话管理端点的通配符指令警报

Question

我们使用ZAP2.8扫描我们的角web应用程序，用IdentityServer4 (隐式流)实现。

它生成了通配符指令警报(如下图所示)，我不确定它是否是一个安全问题。

如果这是一个安全问题，我们该怎么办？OpenID连接会话管理端点不是我们的应用程序的一部分，它是IdentityServer4内置功能。有什么建议吗？谢谢

中型(中型) CSP扫描器:通配符指令说明下列指令要么允许通配符源(或祖先)，要么没有定义，或者定义过于宽泛:框架-祖先

URL https://server103.abc.com:54231/services.identity/connect/checksession

方法获取

参数内容-安全性-策略

证据默认-src 'none'；script-src 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I=‘

Answer 1

问题是没有定义frame-ancestors。Per：https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

默认值-src回退号。不设置这个允许任何东西。

因此，即使您确实定义了default-src，frame-ancestors也不会退回到它，因此由于它没有指定，所以它将接受任何东西。

这取决于您(或谁控制了其他组件)，如果这是一个问题或不。