同じ名前の複数の HTTP ヘッダーが検出されました。RFC 7230 は、ヘッダーフィールドのフィールド値全体がコンマ区切りリストとして定義されているか、ヘッダーフィールドが既知の例外になっているか、のいずれかでない限り、サーバーは同じフィールド名で複数のヘッダーフィールドを生成してはならないことを述べています。コマンドや空白などの他の要素が、元のシリアライザーの制御外の再結合中に挿入される可能性があるため、複数のヘッダーインスタンスにまたがって分割された文字列は、予測できない結果をもたらす可能性があります。

HSTS は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。

HSTS ポリシーは、以下の設定で定義できます。

 - max-age: ブラウザがサイトが HTTPS でのみアクセスされることを記憶する時間 (秒単位)。

 - includeSubDomains (オプション): この属性が指定されている場合、ポリシーは現在のすべてのサイトサブドメインに適用されます。

 - preload (オプション): Google は、HSTS HTTP ヘッダーをチェックせずに HTTPS を強制するために、一部のブラウザで直接配布されているドメインのコンパイル済みリストを管理しています。ドメイン送信プロセスはパブリックであるため、ドメインがプリロードのために送信されるとき、プリロード属性が検証として使用されます。

スキャナーは、ターゲットアプリケーションで HSTS ポリシーを検出しました。

クロスオリジンリソース共有 (CORS) は、最新の Web ブラウザが同一オリジンポリシーによって実装された制限をバイパスできるようにする HTML5 テクノロジーです。

同一オリジンポリシーでは、JavaScript がページとやり取りできるように、JavaScript とページの両方が同じドメインからロードされる必要があります。これにより、外部ドメインからロードされたときに悪意のある JavaScript が実行されることを防ぎます。

CORS ポリシーでは、アプリケーションはブラウザによって実装された保護に対する例外を指定でき、開発者は外部 JavaScript の実行およびページとのやり取りが許可されている許可リストを指定できます。

安全でない CORS 構成によって、任意の Web サイトがターゲットアプリケーションへのユーザー認証情報でリクエストをトリガーし、応答を読み取れるようになるため、攻撃者が権限のある操作を実行したり、潜在的な機密情報を取得したりする可能性があります。

HTTP Strict Transport Security (HSTS) は、HTTPS 経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。

検出された HSTS ポリシーに、クライアントのブラウザがヘッダーポリシーに準拠する時間を決定する表現 (ミリ秒) である長い max-age 値がないか、includeSubDomains ディレクティブ経由のサブドメインがカバーされていません。

Content-Type ヘッダーにより、クライアントはデータをレンダリングする適切な方法を見つけることができます。このヘッダーを省略すると、MIME スニッフィング攻撃が容易になります。

リモート Web サーバーが送信する HTTP ヘッダーは、サーバーのバージョンや Web サーバーが使用するテクノロジーなど、攻撃者に役立つ情報を漏洩します。

Expect-CT ヘッダーにより、サイトは証明書の透明性要件の報告または実施を選択することができ、そのサイトに対して誤って発行された証明書の使用が気付かれないようになります。この URL は、具体例としてフラグが付けられています。

Expect-CT は、2021 年 6 月に廃止される可能性があります。2018 年 5 月以降、新しい証明書はデフォルトで SCT をサポートする予定です。2018 年 3 月より前の証明書の有効期間は 39 か月で、2021 年 6 月にすべて期限切れになります。

リファラーポリシーは、ブラウザが追加できるリファラー情報 (リファラーヘッダーで送信される) を制限するメカニズムを Web サイトに提供します。

リファラーポリシーヘッダーまたはメタタグ構成が検出されていません。

権限ポリシーは、独自のフレームおよびブラウザによって埋め込まれる iframe でのブラウザ機能の使用を制限するメカニズムを Web サイトに提供します。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

CSP が検出されましたが、レポート専用モードに構成されています。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

1 つまたは複数の寛容なディレクティブが検出されました。詳細については出力を参照してください。

HTTP「Cache-Control」ヘッダーは、キャッシングメカニズムのディレクティブを指定するために使用されます。

サーバーが無効な「Cache-Control」ヘッダーを返さないか、返しませんでした。これは、機密情報 (パスワード、クレジットカード、個人データ、社会保障番号など) を含むページがクライアント側のディスクに保存され、権限のないユーザーに公開される可能性があることを意味します。この URL は、具体例としてフラグが付けられています。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

X-Content-Security-Policy および X-Webkit-CSP HTTP ヘッダーは、CSP を実装するために廃止されました。

Content Security ポリシー (CSP) は、クロスサイトスクリプティング (XSS)、クリックジャッキング、混合コンテンツの問題などの攻撃を緩和するのに役立つ Web セキュリティ標準です。CSP は、ブラウザがロードできるコンテンツを制限するメカニズムを Web サイトに提供します。

このホストの CSP ヘッダーが検出されていません。この URL は、具体例としてフラグが付けられています。

HTTP の「X-Content-Type-Options」応答ヘッダーにより、ブラウザが宣言された content-type からの応答を MIME スニッフィングすることを防ぎます。

サーバーが正しい「X-Content-Type-Options」ヘッダーを返しませんでした。これは、この Web サイトがクロスサイトスクリプティング (XSS) 攻撃のリスクにさらされている可能性があることを意味します。

HTTP の「X-XSS-Protection」応答ヘッダーは、最新のブラウザの機能であり、Web サイトが XSS 監査をコントロールできるようにします。

サーバーが正しい「X-XSS-Protection」ヘッダーを返しませんでした。これは、この Web サイトがクロスサイトスクリプティング (XSS) 攻撃のリスクにさらされている可能性があることを意味します。

レガシーブラウザのサポートが必要ない場合は、安全でないインラインスクリプトを許可せずに Content-Security-Policy を使用することをお勧めします。

HTTP の「X-XSS-Protection」応答ヘッダーは、最新のブラウザの機能であり、Web サイトが XSS 監査をコントロールできるようにします。

サーバーが「X-XSS-Protection」ヘッダーを返すように構成されていません。これは、この Web サイトの任意のページがクロスサイトスクリプティング (XSS) 攻撃のリスクにさらされている可能性があることを意味します。この URL は、具体例としてフラグが付けられています。

レガシーブラウザのサポートが必要ない場合は、安全でないインラインスクリプトを許可せずに Content-Security-Policy を使用することをお勧めします。

クリックジャッキング (ユーザーインターフェイス修正攻撃、UI 修正攻撃、UI 修正) は、Web ユーザーを騙して、ユーザーがクリックしていると認識しているものとは異なるものをクリックさせるように仕向ける悪意のある手法であり、一見無害な Web ページをクリックした際に機密情報を漏洩させたり、コンピューターをコントロールしたりする可能性があります。

サーバーは「X-Frame-Options」ヘッダーを返しませんでした。これは、この Web サイトがクリックジャッキング攻撃のリスクがあることを意味します。

「X-Frame-Options」HTTP 応答ヘッダーを使用して、ブラウザがフレームまたは iframe 内にページをレンダリングできるかどうかを示すことができます。サイトはこれを利用して、コンテンツが他のサイトに埋め込まれないようにし、クリックジャッキング攻撃を回避することができます。

クロスオリジンリソース共有 (CORS) は、最新の Web ブラウザが同一オリジンポリシーによって実装された制限をバイパスできるようにする HTML5 テクノロジーです。

同一オリジンポリシーでは、JavaScript がページとやり取りできるように、JavaScript とページの両方が同じドメインからロードされる必要があります。これにより、外部ドメインからロードされたときに悪意のある JavaScript が実行されることを防ぎます。

CORS ポリシーでは、アプリケーションはブラウザによって実装された保護に対する例外を指定でき、開発者は外部 JavaScript の実行およびページとのやり取りが許可されている許可リストのドメインを指定できます。

「Access-Control-Allow-Origin」ヘッダーが「*」または null に設定されている場合、任意のドメインがクロスドメインリクエストを実行し、応答を読み取ることができるため、安全ではありません。攻撃者がこの構成を悪用し、標準の認証メカニズムを使用しないアプリケーション (内部ネットワークからのアクセスのみを許可するイントラネットなど) からプライベートコンテンツを取得する可能性があります。

HTTP プロトコル自体はクリアテキストであるため、HTTP を介して送信されるデータをキャプチャし、コンテンツを表示できます。データをプライベートに保ち、傍受されないようにするために、HTTP は Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を介してトンネル化されることがよくあります。これらの暗号化標準のいずれかが使用される場合、HTTPS と呼ばれます。

HSTSは、HTTPS経由でのみ通信するようにブラウザに指示するためにサーバー上で構成できる、オプションの応答ヘッダーです。これは、ユーザーが同じサーバーで HTTP リソースをリクエストした場合でも、ブラウザによって強制されます。

サイバー犯罪者は、HTTP を使用してクライアントからサーバーに渡される機密情報を侵害しようとすることがよくあります。これは、さまざまな中間者攻撃 (MiTM) 攻撃またはネットワークパケットキャプチャを介して実行できます。

スキャナーは、影響を受けるアプリケーションが HTTPS を使用しているものの、HSTS ヘッダーを使用していないことを検出しました。

ID	名前	深刻度
113333	重複した HTTP ヘッダーが検出されました	info
112535	HTTP Strict Transport Security ポリシーが検出されました	info
98983	安全でないクロスオリジンリソース共有構成	medium
98715	Permissive HTTP Strict Transport Security ポリシーが検出されました	medium
98648	「Content-Type」ヘッダーがありません	low
98618	HTTP ヘッダーの情報漏洩	low
98612	「Expect-CT」ヘッダーがありません (非推奨)	info
98527	リファラーポリシーがありません	info
98526	権限ポリシーがありません	info
112555	Report Only Content Security ポリシーが検出されました	info
112554	Permissive コンテンツセキュリティポリシーが検出されました	low
112553	「Cache-Control」ヘッダーがありません	low
112552	廃止された Content Security ポリシー	low
112551	Content Security ポリシーがありません	low
112529	「X-Content-Type-Options」ヘッダーがありません	low
112527	「X-XSS-Protection」ヘッダーが無効になっています	info
112526	「X-XSS-Protection」ヘッダーがありません	info
98060	「X-Frame-Options」ヘッダーがありません	low
98057	安全でない「Access-Control-Allow-Origin」ヘッダー	low
98056	HTTP Strict Transport Security ポリシーがありません	medium

検出

Web App Scanning 用の HTTP Security Header ファミリー

info

info

medium

medium

low

low

info

info

info

info

low

low

low

low

low

info

info

low

low

medium