<div dir="ltr">It alerts because it's not in db_headers. I've added this one and content-security-policy, thanks.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Aug 9, 2014 at 4:13 PM, Robin Wood <span dir="ltr"><<a href="mailto:robin@digi.ninja" target="_blank">robin@digi.ninja</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>I just got this in a scan using the latest Git code:<br><br>+ Uncommon header 'content-security-policy-report-only' found, with contents: default-src https: data: 'unsafe-inline' 'unsafe-eval'; frame-src https://* about: javascript:; img-src data:<br>



<br></div>Is it reported as Uncommon because it doesn't know about it or is it just pointing out that not many sites set it? I'd guess it is the first.<span class="HOEnZb"><font color="#888888"><br><br></font></span></div>

<span class="HOEnZb"><font color="#888888">Robin<br></font></span></div>
<br>_______________________________________________<br>
Nikto is sponsored by Netsparker, a false positive free web application security scanner.<br>
Visit <a href="https://www.netsparker.com/" target="_blank">https://www.netsparker.com/</a> for more information.<br>
_______________________________________________<br>
Nikto-discuss mail list<br>
<a href="mailto:Nikto-discuss@attrition.org">Nikto-discuss@attrition.org</a><br>
<a href="https://attrition.org/mailman/listinfo/nikto-discuss" target="_blank">https://attrition.org/mailman/listinfo/nikto-discuss</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><a href="http://www.cirt.net" target="_blank">http://www.cirt.net</a>     |      <a href="http://richsec.com/" target="_blank">http://richsec.com/</a>
</div>