Сканер CSP: предупреждение о подстановочных знаках для конечной точки управления сеансом OpenID Connect

Question

Мы использовали ZAP 2.8 для сканирования нашего углового веб-приложения, реализованного с помощью IdentityServer4 (неявный поток).

Это сгенерировало предупреждение подстановочной карты (см. Ниже), я не уверен, что это проблема безопасности или нет,

Если это проблема безопасности, что нам делать? Конечная точка управления сеансом OpenID Connect не является частью нашего приложения, это встроенная функциональность IdentityServer4. какие-либо предложения? спасибо

---

Средний (средний) сканер CSP: директива с подстановочными знаками Описание Следующие директивы либо разрешают использование подстановочных знаков (или предков), либо не определены, либо имеют слишком широкое определение: frame-ancestor

URL https://server103.abc.com:54231/services.identity/connect/checksession

Метод GET

Параметр Content-Security-Policy

Доказательство default-src 'none';script-src 'sha256-ZT3q7lL9GXNGhPTB1Vvrvds2xw / kOV0zoeok2tiV23I ='

Answer 1

Проблема в том, что frame-ancestor не определен. За: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

default-src. Резервный номер. Не устанавливайте этот параметр, чтобы разрешить что-либоОткат к этому, поэтому, поскольку он не указан, он примет все.

Вам решать (или тому, кто контролирует другой компонент), если это проблема или нет.