Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

「report-to」ディレクティブにより、Web サイトはブラウザが CSP 違反レポートを送信できるレポートエンドポイントを指定することができます。これは、管理者がポリシー違反を監視し、セキュリティポリシーを微調整するのに役立ちます。

このホストで Content Security ポリシーが検出されましたが、「report-to」ディレクティブがないため、潜在的な違反が自動的に報告されません。これにより、問題を特定して修正するのに役立つセキュリティイベントに対する可視性が低下します。

コンテンツセキュリティポリシー (CSP) は、ブラウザーがロードできるリソースを制限することで、XSS、クリックジャッキング、混合コンテンツなどの攻撃を防ぐのに役立つ Web セキュリティ標準です。

いくつかの高リスクのソースが CSP で検出されました。これにより、permissive ドメインまたはパブリック CDN を通じてこれらの保護をバイパスする可能性があります。攻撃者は、これらの許容ソースを悪用して、CSP の制限にもかかわらず、悪意のあるコンテンツを注入する可能性があります。

Content-Type ヘッダーにより、クライアントはデータをレンダリングする適切な方法を見つけることができます。charset がないと、ブラウザの自動検出メカニズムを悪用するクロスサイトスクリプティングなどのさまざまな動作が引き起こされる可能性があります。

同じ名前の複数の HTTP ヘッダーが検出されました。RFC 7230 は、ヘッダーフィールドのフィールド値全体がコンマ区切りリストとして定義されているか、ヘッダーフィールドが既知の例外になっているか、のいずれかでない限り、サーバーは同じフィールド名で複数のヘッダーフィールドを生成してはならないことを述べています。コマンドや空白などの他の要素が、元のシリアライザーの制御外の再結合中に挿入される可能性があるため、複数のヘッダーインスタンスにまたがって分割された文字列は、予測できない結果をもたらす可能性があります。

HSTS は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。

HSTS ポリシーは、以下の設定で定義できます。

 - max-age: ブラウザがサイトが HTTPS でのみアクセスされることを記憶する時間 (秒単位)。

 - includeSubDomains (オプション): この属性が指定されている場合、ポリシーは現在のすべてのサイトサブドメインに適用されます。

 - preload (オプション): Google は、HSTS HTTP ヘッダーをチェックせずに HTTPS を強制するために、一部のブラウザで直接配布されているドメインのコンパイル済みリストを管理しています。ドメイン送信プロセスはパブリックであるため、ドメインがプリロードのために送信されるとき、プリロード属性が検証として使用されます。

スキャナーは、ターゲットアプリケーションで HSTS ポリシーを検出しました。

クロスオリジンリソース共有 (CORS) は、最新の Web ブラウザが同一オリジンポリシーによって実装された制限をバイパスできるようにする HTML5 テクノロジーです。

同一オリジンポリシーでは、JavaScript がページとやり取りできるように、JavaScript とページの両方が同じドメインからロードされる必要があります。これにより、外部ドメインからロードされたときに悪意のある JavaScript が実行されることを防ぎます。

CORS ポリシーでは、アプリケーションはブラウザによって実装された保護に対する例外を指定でき、開発者は外部 JavaScript の実行およびページとのやり取りが許可されている許可リストを指定できます。

安全でない CORS 構成によって、任意の Web サイトがターゲットアプリケーションへのユーザー認証情報でリクエストをトリガーし、応答を読み取れるようになるため、攻撃者が権限のある操作を実行したり、潜在的な機密情報を取得したりする可能性があります。

HTTP Strict Transport Security (HSTS) は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。

検出された HSTS ポリシーに、クライアントのブラウザがヘッダーポリシーに準拠する時間を決定する表現 (ミリ秒) である長い max-age 値がないか、includeSubDomains ディレクティブ経由のサブドメインがカバーされていません。

Content-Type ヘッダーにより、クライアントはデータをレンダリングする適切な方法を見つけることができます。このヘッダーを省略すると、MIME スニッフィング攻撃が容易になります。

リモート Web サーバーが送信する HTTP ヘッダーは、サーバーのバージョンや Web サーバーが使用するテクノロジーなど、攻撃者に役立つ情報を漏洩します。

リファラーポリシーは、ブラウザが追加できるリファラー情報 (リファラーヘッダーで送信される) を制限するメカニズムを Web サイトに提供します。

リファラーポリシーヘッダーまたはメタタグ構成が検出されていません。

権限ポリシーは、独自のフレームおよびブラウザによって埋め込まれる iframe でのブラウザ機能の使用を制限するメカニズムを Web サイトに提供します。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

CSP が検出されましたが、レポート専用モードに構成されています。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

1 つまたは複数の寛容なディレクティブが検出されました。詳細については出力を参照してください。

HTTP「Cache-Control」ヘッダーは、キャッシングメカニズムのディレクティブを指定するために使用されます。

サーバーが無効な「Cache-Control」ヘッダーを返さないか、返しませんでした。これは、機密情報 (パスワード、クレジットカード、個人データ、社会保障番号など) を含むページがクライアント側のディスクに保存され、権限のないユーザーに公開される可能性があることを意味します。この URL は、具体例としてフラグが付けられています。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

X-Content-Security-Policy および X-Webkit-CSP HTTP ヘッダーは、CSP を実装するために廃止されました。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

このホストの CSP ヘッダーが検出されていません。この URL は、具体例としてフラグが付けられています。

SameSite は、クロスサイトリクエストと一緒に送信してクロスサイトリクエストフォージェリ (CSRF) 攻撃を防ぐことができる Cookie を Cookie として設定してウェブブラウザに指示できる属性です。

属性には、3 つの値を使用できます。

 - Strict: Cookie はファーストパーティのコンテキストでのみ送信されるため、サードパーティのウェブサイトで開始されたクロスサイトリクエストに含められないようにすることができます。

 - Lax: Cookie は、サードパーティウェブサイトのトップレベルナビゲーションによって開始された GET クロスサイトリクエストでの送信が許可されています。たとえば、外部ウェブサイトのハイパーテキストリンクをたどると、リクエストに Cookie が含められます。

 - None: Cookie は、任意のコンテキストでブラウザによって送信されるように明示的に設定されます。

スキャナーが、アプリケーションによって設定された Cookie に SameSite 属性がないこと、または設定ミスを特定しました。

HTTP の「X-Content-Type-Options」応答ヘッダーにより、ブラウザが宣言された content-type からの応答を MIME スニッフィングすることを防ぎます。

サーバーが正しい「X-Content-Type-Options」ヘッダーを返しませんでした。これは、この Web サイトがクロスサイトスクリプティング (XSS) 攻撃のリスクにさらされている可能性があることを意味します。

Cookie に「secure」フラグが設定されると、ブラウザは Cookie がクリアテキストチャネル (HTTP) に送信されないようにし、暗号化されたチャネルが使用されている場合 (HTTPS) にのみ送信を許可します。

スキャナーが、Cookie が安全なフラグが設定されていないサーバーによって設定されていることを検出しました。この Cookie の初期設定は HTTPS 接続を使用したものでしたが、同じサーバーへの HTTP リンクがあると、Cookie がクリアテキストで送信されます。

注意: Cookie に機密情報が含まれていない場合、この脆弱性のリスクは軽減されます。

HttpOnly フラグは、クライアントサイドスクリプト (JavaScript など) が Cookie にアクセスして使用するのを防ぎます。

これは、XSS 攻撃がクライアントのセッショントークンを保持している Cookie を標的とすることを防ぎます (HttpOnly フラグの設定によって、XSS の脆弱性自体が防止されたり、保護されたりすることはありません)。

HTTP 自体は、ステートレスなプロトコルです。したがって、サーバーは、どのクライアントがどのリクエストを実行し、どのクライアントが認証済みまたは未認証であるかを判断できません。

ヘッダー内で HTTP Cookie を使用するとウェブサーバーは個々のクライアントを識別できるため、有効な認証を保持しているクライアントと保持していないクライアントを特定できます。これらは、セッション Cookie として知られています。

Cookie がサーバーによって設定されている場合 (HTTP 応答のヘッダーが送信されます)、いくつかのフラグのフラグを設定して Cookie のプロパティとブラウザでの処理方法を構成することができます。

これらのフラグの 1 つは、Cookie を使用できるホストまたはドメインを表します。

ホストではなく親ドメインに Cookie が設定されている場合、同じ Cookie がそのドメイン内の他のホストへのアクセスに使用されている可能性があります。これには多くの正当な理由がありますが、設定ミスによってアタックサーフェスが拡大している場合もあります。

クリックジャッキング (ユーザーインターフェイス修正攻撃、UI 修正攻撃、UI 修正) は、Web ユーザーを騙して、ユーザーがクリックしていると認識しているものとは異なるものをクリックさせるように仕向ける悪意のある手法であり、一見無害な Web ページをクリックした際に機密情報を漏洩させたり、コンピューターをコントロールしたりする可能性があります。

サーバーは「X-Frame-Options」ヘッダーを返しませんでした。これは、この Web サイトがクリックジャッキング攻撃のリスクがあることを意味します。

「X-Frame-Options」HTTP 応答ヘッダーを使用して、ブラウザがフレームまたは iframe 内にページをレンダリングできるかどうかを示すことができます。サイトはこれを利用して、コンテンツが他のサイトに埋め込まれないようにし、クリックジャッキング攻撃を回避することができます。

クロスオリジンリソース共有 (CORS) は、最新の Web ブラウザが同一オリジンポリシーによって実装された制限をバイパスできるようにする HTML5 テクノロジーです。

同一オリジンポリシーでは、JavaScript がページとやり取りできるように、JavaScript とページの両方が同じドメインからロードされる必要があります。これにより、外部ドメインからロードされたときに悪意のある JavaScript が実行されることを防ぎます。

CORS ポリシーでは、アプリケーションはブラウザによって実装された保護に対する例外を指定でき、開発者は外部 JavaScript の実行およびページとのやり取りが許可されている許可リストのドメインを指定できます。

「Access-Control-Allow-Origin」ヘッダーが「*」または null に設定されている場合、任意のドメインがクロスドメインリクエストを実行し、応答を読み取ることができるため、安全ではありません。攻撃者がこの構成を悪用し、標準の認証メカニズムを使用しないアプリケーション (内部ネットワークからのアクセスのみを許可するイントラネットなど) からプライベートコンテンツを取得する可能性があります。

HTTP プロトコル自体はクリアテキストであるため、HTTP を介して送信されるデータをキャプチャし、コンテンツを表示できます。データをプライベートに保ち、傍受されないようにするために、HTTP は Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を介してトンネル化されることがよくあります。これらの暗号化標準のいずれかが使用される場合、HTTPS と呼ばれます。

HSTS は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で設定できる、オプションの応答ヘッダーです。これは、ユーザーが同じサーバーで HTTP リソースをリクエストした場合でも、ブラウザによって強制されます。

サイバー犯罪者は、HTTP を使用してクライアントからサーバーに渡される機密情報を侵害しようとすることがよくあります。これは、さまざまな中間者攻撃 (MiTM) 攻撃またはネットワークパケットキャプチャを介して実行できます。

スキャナーは、影響を受けるアプリケーションが HTTPS を使用しているものの、HSTS ヘッダーを使用していないことを検出しました。

ID	名前	深刻度
114796	「Report-To」が欠如している Content Security ポリシー	low
114564	Content Security Policy (コンテンツセキュリティポリシー) の許容可能なソース	info
114382	「Content-Type」Charset がありません	low
113333	重複した HTTP ヘッダーが検出されました	info
112535	HTTP Strict Transport Security ポリシーが検出されました	info
98983	安全でないクロスオリジンリソース共有構成	medium
98715	Permissive HTTP Strict Transport Security ポリシーが検出されました	low
98648	「Content-Type」ヘッダーがありません	low
98618	HTTP ヘッダーの情報漏洩	low
98527	リファラーポリシーがありません	info
98526	権限ポリシーがありません	info
112555	Report Only Content Security ポリシーが検出されました	info
112554	Permissive コンテンツセキュリティポリシーが検出されました	low
112553	「Cache-Control」ヘッダーがありません	low
112552	廃止された Content Security ポリシー	low
112551	Content Security ポリシーがありません	low
115540	SameSite フラグが検出されない Cookie	low
112529	「X-Content-Type-Options」ヘッダーがありません	low
98064	安全なフラグが検出されない Cookie	low
98063	HttpOnly フラグが検出されない Cookie	low
98062	親ドメインの Cookie 設定	info
98060	「X-Frame-Options」ヘッダーがありません	low
98057	安全でない「Access-Control-Allow-Origin」ヘッダー	low
98056	HTTP Strict Transport Security ポリシーがありません	medium

検出

Web App Scanning の HTTP Security Header ファミリー

low

info

low

info

info

medium

low

low

low

info

info

info

low

low

low

low

low

low

low

low

info

low

low

medium