Identityserver4 CSP扫描程序：OpenID连接会话管理终结点的通配符指令警报_Identityserver4_Openid Connect_Content Security Policy_Zap

Identityserver4 CSP扫描程序：OpenID连接会话管理终结点的通配符指令警报

identityserver4

Identityserver4 CSP扫描程序：OpenID连接会话管理终结点的通配符指令警报,identityserver4,openid-connect,content-security-policy,zap,Identityserver4,Openid Connect,Content Security Policy,Zap,我们使用ZAP2.8扫描使用IdentityServer4隐式流实现的angular web应用程序它生成了一个通配符指令警报，如下所示，我不确定这是否是安全问题如果是安全问题，我们该怎么办？OpenID Connect会话管理端点不是我们应用程序的一部分，它是IdentityServer4内置功能。有什么建议吗？谢谢中CSP扫描程序：通配符指令描述以下指令要么允许通配符源或祖先，要么未定义，要么定义过于宽泛：帧祖先网址方法获取参数内容安全策略证据默认src“无”；脚本src'

我们使用ZAP2.8扫描使用IdentityServer4隐式流实现的angular web应用程序

它生成了一个通配符指令警报，如下所示，我不确定这是否是安全问题

如果是安全问题，我们该怎么办？OpenID Connect会话管理端点不是我们应用程序的一部分，它是IdentityServer4内置功能。有什么建议吗？谢谢

中CSP扫描程序：通配符指令描述以下指令要么允许通配符源或祖先，要么未定义，要么定义过于宽泛：帧祖先

网址

方法获取

参数内容安全策略

证据默认src“无”；脚本src'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kOV0zoeok2tiV23I='

问题在于未定义帧祖先。 Per:

默认src回退编号。不设置此项允许任何操作

所以，即使您定义了默认的src，框架祖先也不会回退到它，所以因为它是未指定的，所以它将接受任何东西

这取决于您或控制其他组件的人是否存在问题。

问题在于未定义框架祖先。 Per:

默认src回退编号。不设置此项允许任何操作

所以，即使您定义了默认的src，框架祖先也不会回退到它，所以因为它是未指定的，所以它将接受任何东西

这取决于您或控制其他组件的人是否存在问题。

列出的证据是您的整个CSP吗？嗨@Kingthrin是的，这是整个CSP。谢谢内容安全策略：默认src“无”；脚本src'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kovozoeok2tiv23i='x-content-security-policy:默认src'none'；脚本src'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kovozoeok2tiv23i='是您的整个CSP列出的证据吗？嗨@kingthrin是的，它是整个CSP。谢谢内容安全策略：默认src“无”；脚本src'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kovozoeok2tiv23i='x-content-security-policy:默认src'none'；脚本src'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw/kovozoeok2tiv23i='1