嗨我已经在IIS中添加了一些 Headers ,以根据某些研究删除我网站中的点击劫持漏洞 .

这些是 Headers

Content-Security-Policy: default-src 'self'

X-Frame-Options: SAMEORIGIN

X-XSS-Protection : 1; mode=block

我的客户端运行扫描但发现它是失败的 . 它在报告中显示如下

Title: 缺少或允许内容 - 安全 - 策略HTTP响应标头

Synopsis: 远程Web服务器不会采取措施来缓解一类Web应用程序漏洞 .

Impact: 某些响应中的远程Web服务器设置了允许的Content-Security-Policy(CSP)响应标头,或者根本不设置响应标头 . W3C Web应用程序安全工作组已提议使用CSP标头作为缓解跨站点脚本和点击劫持攻击的方法 . 另请参阅:http://content-security-policy.com/ https://www.w3.org/TR/CSP2/ Resolution: 为所有请求的资源设置正确配置的Content-Security-Policy标头 .

请有人帮忙解决这个问题 .

angularjs security asp.net-web-api2 content-security-policy clickjacking