http-headers - OWASP ZAP 为可信资源报告的“跨域 javascript 源文件包含”
问题描述
我的主机是www.example.com
,我正在提供带有 URL 的 html 页面www.example.com/html-url.html
。在这些 html 中,我包含了一个来自我们 S3 存储桶的 javascript 文件,比如bucket-name
.
OWASP ZAP 扫描对此提出了低级别警报 - 跨域 JavaScript 源文件包含证据:<script src="bucket-name/custom.js" type="text/javascript"/>
问题:有什么方法可以在配置中配置受信任资源/URL 的列表?我正在使用 NGINX 服务器。请注意,由于某些原因,我需要获得一份干净的漏洞扫描报告。
我知道有这个 HTTP 标头“内容安全策略”,并且在官方网站上它说“内容安全策略 (CSP) 是一个 HTTP 标头,它允许站点运营商细粒度地控制可以从何处加载其站点上的资源。 "
但我不确定我是否可以利用这个。
解决方案
“干净的漏洞扫描报告”是可取的,但我个人认为它不应该是强制性的 - 网络扫描仪报告潜在的漏洞,因此有些可能是误报,甚至是与您的情况实际上无关的真报。
在任何情况下,“bucket-name/custom.js”都不是跨域的,所以这看起来像是一个误报。你更新 ZAP 了吗?如果是这样,请将其作为 ZAP 问题提出,我们可以修复它:https ://github.com/zaproxy/zaproxy/issues
推荐阅读
- dfa - DFA 可以有一个带有空字符串的箭头作为输入吗?
- c++ - 函数是否在返回值后立即终止,忽略其下一行?
- flutter - Flutter IconTheme 不适用
- windows - 聪明的。卡微型驱动程序测试库加载失败 - cmck
- jenkins - 如何简单地执行键的值,其中值是元素列表,每个元素执行应该在jenkins groovy中并行执行
- reactjs - (错误)AWS 作为后端安装放大库
- discord - 链接到 Discord.py Meme 命令中的 meme
- c# - JSON模型的多重继承的替代方案?
- laravel - 动态字段验证 (Livewire) - 有效但不能引用错误桶
- r - 为什么在 R 中总结线性模型并没有显示所有需要的级别?