Когда мы проводим тестирование безопасности для нашего приложения, мы получаем отчет об уязвимостях. Я пробовал много способов, но не повезло.
Мы использовали инструмент Zap для тестирования безопасности. Я приложил отчет.
Я добавил referrerpolicy = "origin" для тегов <a>
, <meta>
, <script>
и <img>
, но не сработал. Я попытался, добавив следующие заголовки «X-XSS-Protection», «1», «X-Frame-Options», «SAMEORIGIN», «Content-Security-Policy», «script-src self»
Согласно отчету скрипт script.js открывается в браузере, и нам нужно заблокировать файл script.js, чтобы избежать атак XSS
Изображение для токена Anti CSRF