検出

HTTP Strict Transport Security ポリシーが検出されました

info Web App Scanning プラグイン ID 112535

Language:

概要

HTTP Strict Transport Security ポリシーが検出されました

説明

HSTS は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。

HSTS ポリシーは、以下の設定で定義できます。

 - max-age: ブラウザがサイトが HTTPS でのみアクセスされることを記憶する時間 (秒単位)。

 - includeSubDomains (オプション): この属性が指定されている場合、ポリシーは現在のすべてのサイトサブドメインに適用されます。

 - preload (オプション): Google は、HSTS HTTP ヘッダーをチェックせずに HTTPS を強制するために、一部のブラウザで直接配布されているドメインのコンパイル済みリストを管理しています。ドメイン送信プロセスはパブリックであるため、ドメインがプリロードのために送信されるとき、プリロード属性が検証として使用されます。

スキャナーは、ターゲットアプリケーションで HSTS ポリシーを検出しました。

参考資料

https://hstspreload.org/

https://tools.ietf.org/html/rfc6797

https://www.chromium.org/hsts

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

プラグインの詳細

深刻度: Info

ID: 112535

タイプ: remote

ファミリー: HTTP Security Header

公開日: 2020/7/27

更新日: 2024/3/25

スキャン テンプレート: api, basic, config_audit, full, overview, pci, quick, scan