Docusign的安全问题

Question

我们在Salesforce中开发了一个应用程序，它使用DocuSign web服务API (https://demo.docusign.net/api/3.0/dsapi.asmx for development和https://www.docusign.net/api/3.0/dsapi.asmx for production)。当我们对这两个API进行安全扫描时，我们发现了很少的漏洞。我们使用ZAP工具进行安全扫描，发现了以下漏洞：

1. X帧-选项标头未设置
2. 不完整或没有缓存-控制和Pragma HTTP报头集
3. 未启用Web浏览器XSS保护
4. X-内容-类型-选项头丢失

这些问题是否可以固定在web服务上，或者是否有任何文件证明这些问题是假阳性的？

谢谢

Answer 1

与所有自动扫描器一样，Zap非常擅长发现常见的疏忽，并将应用程序与最佳实践进行比较。不幸的是，他们往往没有考虑到眼前更大的情况。为正确的场景设置正确的x头是防止客户端服务器web流中的点击劫持和XSS等常见攻击的一个重要保护，因为它们有助于通知用户浏览器应该允许或不允许哪些操作。然而，在服务器到服务器API流中，这些攻击并不相关，因此这些攻击应该被视为假阳性。感谢您提请我们的注意，然而，DocuSign不断投资于我们的平台的安全，我们感谢审查。