Ontbrekende Content-Security-Policy header
De applicatie stuurt geen Content-Security-Policy header. Zonder CSP kan een eventuele XSS vrijwel ongehinderd scripts uitvoeren in de browser.
Screenshot
Geen visual evidence beschikbaar
Geen screenshot
Deze finding komt uit een passive HTTP check zonder visuele observatie. Start een ACTIVE_BROWSER of AUTHENTICATED_BROWSER scan om screenshots te verzamelen.
Waarom dit belangrijk is
Verhoogt de impact van elke XSS-kwetsbaarheid aanzienlijk en maakt supply-chain risico (bijv. een gekaapt third-party script) moeilijker te beperken.
Hoe je dit oplost
Voeg een Content-Security-Policy header toe, te beginnen met een strikte basis zoals: `default-src 'self'; script-src 'self'; frame-ancestors 'none'; base-uri 'self'`. Breid uit op basis van wat je daadwerkelijk nodig hebt en test stap voor stap met `Content-Security-Policy-Report-Only`.
AI-uitleg (ondersteunend)
Laat een taalmodel deze finding vertalen naar mensentaal en een concreet fix-voorstel.
Geen AI-uitleg gegenereerd. Dit is optioneel en alleen ondersteunend — de scan-bevindingen blijven leidend.
DOM context
Geen DOM snippet
Deze check vangt geen DOM-context op.
Technische observatie
Alleen lezende waarnemingen
{
"status": 200,
"headers": {
"content-type": "text/html"
}
}Locatie
- Selector
- —
- Flow
- —
- Stap
- —
Mapping
Historie
Nog geen statuswijzigingen.