いいのかこれ?
成り行き
HTTPヘッダー周りのセキュリティを頑張ってた。
チェッカーがいうにはCSPが設定できてないし、仕様的にチェック元の仕様に沿った設定ができてない限りは何を記載してもダメって判定が出るらしい。
割と細かく設定しても怒られまくるので困った。
うまくいっちゃった例
環境はphp、というかWordpressなのだけど。
全部header()で設定してたんだけど、CSPの記述そのものを削除。
.htaccessでX-Frame-Optionsを設定。
<Ifmodule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>そもそもheader()で仕込んでたんだけど解消されなかったんでこっちに書いた。
X-Frame-Optionsの警告が出ていたからアプローチを変えて、CSPの設定が詰んでたから一旦削除して、スキャンに掛けた。そしたらなんかCSPがOK出ちゃった。
なんででしょうね
まとめ
解消できる脆弱性
- X-Frame-Options Header
- Content-Security-Policy(CSP)
やったこと
X-Frame-Optionsを設定したらCSPも解消した。
コメント