Después del análisis de seguridad, estamos viendo el problema Falla del mecanismo de protección (CWE ID 693) en nuestro aplicación.
Nuestro encabezado actual se establece como se menciona a continuación-
Server: Apache X-Frame-Options: SAMEORIGIN Accept-Ranges: bytes
Content-Length: 151 Last-Modified: Wed, 04 Apr 2018 08:18:16 GMT
X-Powered-By: Servlet/2.5 JSP/2.1 Content-Security-Policy: default-src
'self' 'unsafe-inline' 'unsafe-eval' *.googleapis.com www.google.com
*.google-analytics.com ; img-src 'self' data: ; Strict-Transport-Security: max-age=31536000; includeSubDomains;
preload X-XSS-Protection: 1; mode=block Content-Type: text/html
¿Puede por favor ayudar a comprender cómo se puede resolver el problema? También probamos el enfoque de nonce, pero no pudimos tener éxito. Nos quedamos con el problema que se encuentra debajo
Se negó a aplicar el estilo en línea porque viola lo siguiente Directiva de política de seguridad de contenido: "style-src 'self' 'nonce-1vb337j47ngp6' ". O bien la palabra clave 'unsafe-inline', un hash ('sha256-mf8m / qIWtvEARCPQ2lxzyNeJ + xiFw84zHgmCq5rxqbo ='), o un nonce ('nonce -...') es necesario para habilitar la ejecución en línea.