渗透报告要求要添加“Content-Security-Policy”响应头

    漏洞等级：

    低危

    漏洞描述：

    检测到服务器的响应未包含Content-Security-Policy响应头。Content-Security-Policy实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。Content-Security-Policy大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

    漏洞危害：

    更容易加载不可信的外部资源。

   一、 可以在IIS 的HTTP响应标头中设置。若有多个虚拟目录，可以分别设置响应头。

    二、设置响应头：Content-Security-Policy，值：default-src 'self' 此时界面显示不全，是由于拒绝了内联的CSS和JS。

    改为：default-src 'self' 'unsafe-inline' 此时验证码无法显示

    接着设置为：default-src 'self' 'unsafe-inline';img-src 'self' data:

    显示正常。

    成功登录后，发现第三方插件，树插件zTree显示不正常。

    算了，不整了。