Объясните уязвимости Aws API-шлюза, как я в пятый раз

Я использовал шлюз API для построения бизнес-логики моего приложения, вызывающего лямбда-функции. Для гарантии безопасности я сгенерировал отчет об НДС базового URL API у своего эксперта по кибербезопасности. Всего было обнаружено 9 уязвимостей, включая четыре уязвимости среднего уровня, три уязвимости низкого уровня и две уязвимости информационного уровня.

  1. Директива дикой карты (CSP)
  2. Заголовок политики безопасности содержимого (CSP) не установлен
  3. Неправильная конфигурация междоменного соединения
  4. Отсутствующий заголовок защиты от перехвата кликов
  5. Утечка информации с сервера через поле(я) «X-Powered-By» заголовка HTTP-ответа
  6. Раскрытие временных меток — Unix
  7. Отсутствует заголовок X-Content-Type-Options
  8. Несоответствие набора символов
  9. Пересмотрите директивы кэша

как устранить все эти уязвимости? есть ли необходимость устанавливать или определять пользовательские заголовки? (если да, то где и как я могу это сделать, либо в консоли API Gateway, либо в лямбда-скрипте, либо в коде на стороне клиента или приложения, где вызывается этот базовый URL API Gateway)?

Оцените статью
devanswers.ru
Добавить комментарий