缺少“Content-Security-Policy”头

严重性： 低 

CVSS 分数： 5.0 

URL：： http://www.pdsgxq.gov.cn/gaoxinqudongtai-219.html 

实体： gaoxinqudongtai-219.html (Page) 

风险： 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置 

原因： Web 应用程序编程或配置不安全 

固定值： 将您的服务器配置为使用“Content-Security-Policy”头 

推理： AppScan 检测到 Content-Security-Policy 响应头缺失，这可能会更大程度得暴露于各种跨站点注 入攻击下之

解决方案：

web.config:中添加

<system.webServer>

  <httpProtocol>

    <customHeaders>

      <add name="Content-Security-Policy" value="default-src 'self';" />

    </customHeaders>

  </httpProtocol>

</system.webServer>

1．Missing "Content-Security-Policy" header

答： 在web.config 配置文件中添加如下响应头
<system.webServer>
　　<httpProtocol> 
　　　　<customHeaders>
　　　　　　<add name="X-Content-Type-Options" value="nosniff"/>
　　　　　　<add name="X-XSS-Protection" value="1;mode=block"/>
　　　　　　<add name="X-Frame-Options" value="SAMEORIGIN"/>
　　　　       <add name="Content-Security-Policy" value="default-src 'self' i.tianqi.com"/>

　　　　</customHeaders>
　　</httpProtocol>
</system.webServer>

2．Missing "X-Content-Type-Options" header

答： 在web.config 配置文件中添加如下响应头，添加节点见 第6 个问题

<add name="X-Content-Type-Options" value="nosniff"/>

3．Missing "X-XSS-Protection" header

答： 在web.config 配置文件中添加如下响应头，添加节点见 第6 个问题
<add name="X-XSS-Protection" value="1;mode=block"/>

示例

default-src 'self';   

只允许同源下的资源

script-src 'self';     

只允许同源下的js

script-src 'unsafe-inline';     

只允许行内js

script-src 'self' www.google-analytics.com ajax.googleapis.com;

允许同源以及两个地址下的js加载

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';

多个资源时,后面的会覆盖前面的