AppScan检测“Content-Security-Policy”头缺失或不安全

“Content-Security-Policy”头缺失或不安全
用AppScan对url进行检测出现“Content-Security-Policy”头缺失或不安全问题
解决方法:
在拦截器或者过滤器中添加

response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-ancestors 'self'; object-src 'none'");

12621安全规则版本中可以只写"default-src ‘self’, 但是在17339规则版本中 "default-src ‘self’; script-src ‘self’; frame-ancestors ‘self’; 这三项属性必须添加。12621安全规则对应的AppScan版本为9.0.3.7。17339安全规则对应的软件版本为9.0.3.12

你可能感兴趣的:(AppScan检测“Content-Security-Policy”头缺失或不安全)