已偵測到多個同名的 HTTP 標頭。RFC 7230 指出伺服器不得產生多個具有相同欄位名稱的標頭欄位，除非該標頭欄位的整個欄位值已定義為逗號分隔清單，或是該標頭欄位是已知的例外狀況。跨多個標頭執行個體分割的字串可能會產生無法預測的結果，這是因為在重組期間，可能會在原始序列化程式無法控制的範圍內插入其他元素，例如命令和空格。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。

可使用下列設定定義 HSTS 原則：

 - max-age：瀏覽器應記住只能以 HTTPS 存取網站的時間 (以秒為單位)。

 - includeSubDomains (選用)：如果已指定此屬性，則原則會套用至所有目前的網站子網域。

 - 預先載入 (選用)：Google 會維護已編譯的網域清單，此清單在某些瀏覽器中會直接發佈，以強制執行 HTTPS 而不檢查 HSTS HTTP 標頭。由於網域提交處理程序是公開的，因此在提交網域進行預先載入時，會使用 preload 屬性作為驗證。

掃描程式在目標應用程式上偵測到 HSTS 原則。

跨來源資源共用 (CORS) 是一種 HTML5 技術，可讓現代網頁瀏覽器繞過由同源原則實作的限制。

同源原則要求 JavaScript 和頁面都必須從相同網域載入，才能允許 JavaScript 與頁面互動。這也可以防止從外部網域載入時執行惡意 JavaScript。

CORS 原則允許應用程式針對瀏覽器實作的保護指定例外狀況，並讓開發人員能夠指定允許外部 JavaScript 執行並與頁面互動的允許清單。

不安全的 CORS 設定允許任何網站以目標應用程式的使用者憑證觸發要求並讀取回應，進而讓攻擊者能夠執行有特殊權限的動作，或擷取潛在的敏感資訊。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。

偵測到的 HSTS 原則沒有較長的 max-age 值，此表示法 (以毫秒為單位) 決定用戶端瀏覽器遵守標頭原則或不透過 includeSubDomains 指示詞涵蓋子網域的時間。

Content-Type 標頭可讓用戶端找到轉譯資料的適當方式，如果遺漏此標頭，可能有助於 MIME 探查攻擊。

遠端 Web 伺服器傳送的 HTTP 標頭會洩漏可供攻擊者利用的資訊，例如 Web 伺服器所使用的伺服器版本和技術。

Expect-CT 標頭允許網站選擇報告和/或強制執行憑證透明度要求，這可防止該網站使用錯誤核發憑證的情況遭到忽略。此 URL 已標記為特定範例。

Expect-CT 可能會在 2021 年 6 月過時。自 2018 年 5 月起，新憑證應預設支援 SCT。2018 年 3 月之前的憑證允許有 39 個月的存留期，這些憑證將在 2021 年 6 月到期。

參照位址原則提供網站限制瀏覽器可新增參照位址資訊 (在 Referrer 標頭中傳送) 的機制。

未偵測到任何參照位址原則標頭或中繼標籤設定。

權限原則提供網站在其自身框架內或其內嵌的 iframe 中限制使用瀏覽器功能的機制。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

已偵測到 CSP，但其設定為「僅報告」模式。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

偵測到一個或多個寬鬆的指示詞。請參閱輸出以取得詳細資料。

HTTP「Cache-Control」標頭用於指定快取機制的指示詞。

伺服器未傳回或傳回無效的「Cache-Control」標頭，這表示含有敏感資訊 (密碼、信用卡、個人資料、社會安全號碼等) 的頁面可能儲存在用戶端磁碟上，然後洩漏給未經授權的使用者。此 URL 已標記為特定範例。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

X-Content-Security-Policy 和 X-Webkit-CSP HTTP 標頭已過時，無法實作 CSP。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

在此主機上未偵測到 CSP 標頭。此 URL 已標記為特定範例。

HTTP「X-Content-Type-Options」回應標頭可防止瀏覽器對脫離所宣告之 content-type 的回應執行 MIME 探查。

伺服器未傳回正確的「X-Content-Type-Options」標頭，這表示此網站可能會受到跨網站指令碼 (XSS) 攻擊。

HTTP「X-XSS-Protection」回應標頭是現代瀏覽器的一項功能，可讓網站控制其 XSS 稽核者。

伺服器未傳回正確的「X-XSS-Protection」標頭，這表示此網站可能會受到跨網站指令碼 (XSS) 攻擊。

如果不需要舊版瀏覽器支援，建議改用不允許不安全內嵌指令碼的 Content-Security-Policy。

HTTP「X-XSS-Protection」回應標頭是現代瀏覽器的一項功能，可讓網站控制其 XSS 稽核者。

伺服器未設定為傳回「X-XSS-Protection」標頭，這表示此網站的任何頁面可能會受到跨網站指令碼 (XSS) 攻擊。此 URL 已標記為特定範例。

如果不需要舊版瀏覽器支援，建議改用不允許不安全內嵌指令碼的 Content-Security-Policy。

點擊劫持 (使用者介面修正攻擊、UI 修正攻擊、UI 修正) 是一種誘騙 Web 使用者點擊不同於預期點擊內容的惡意技術，當使用者按一下看似無害的網頁時，可能會導致機密資訊遭洩漏或電腦被控制。

伺服器未傳回「X-Frame-Options」標頭，這表示此網站可能會遭受點擊劫持攻擊。

「X-Frame-Options」HTTP 回應標頭可用來指示是否應允許瀏覽器轉譯框架或 iframe 內的頁面。網站可藉此確保其內容不會內嵌到其他網站中，進而避免點擊劫持攻擊。

跨來源資源共用 (CORS) 是一種 HTML5 技術，可讓現代網頁瀏覽器繞過由同源原則實作的限制。

同源原則要求 JavaScript 和頁面都必須從相同網域載入，才能允許 JavaScript 與頁面互動。這也可以防止從外部網域載入時執行惡意 JavaScript。

CORS 原則允許應用程式針對瀏覽器實作的保護指定例外狀況，並讓開發人員能夠指定允許外部 JavaScript 執行並與頁面互動的允許網域清單。

當「Access-Control-Allow-Origin」標頭設定為「*」或 null 時，它會允許任何網域執行跨網域要求和讀取回應，因而不安全。攻擊者可濫用此設定，從不使用標準驗證機制的應用程式 (例如，僅允許從內部網路存取的內部網路) 中擷取私人內容。

HTTP 通訊協定本身為純文字，這表示使用者可擷取透過 HTTP 傳輸的任何資料並檢視內容。為確保資料私密以及防止資料遭攔截，我們通常會透過安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來建立 HTTP 通道。當使用其中任何一個加密標準時，就稱為 HTTPS。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。即使使用者要求相同伺服器上的 HTTP 資源，瀏覽器也會強制執行此動作。

網路不法份子通常會嘗試竊取使用 HTTP 從用戶端傳送至伺服器的敏感資訊，這可透過各種攔截式 (MiTM) 攻擊或透過網路封包擷取來完成。

掃描程式發現受影響的應用程式使用的是 HTTPS，但並未使用 HSTS 標頭。

ID	名稱	嚴重性
113333	偵測到重複的 HTTP 標頭	info
112535	偵測到 HTTP 嚴格傳輸安全性原則	info
98983	不安全的跨來源資源共用設定	medium
98715	偵測到寬鬆的 HTTP 嚴格傳輸安全性原則	medium
98648	遺漏「Content-Type」標頭	low
98618	HTTP 標頭資訊洩漏	low
98612	遺漏「Expect-CT」標頭 (已過時)	info
98527	遺漏參照位址原則	info
98526	遺漏權限原則	info
112555	偵測到僅報告內容安全性原則	info
112554	偵測到寬鬆的內容安全性原則	low
112553	遺漏「Cache-Control」標頭	low
112552	過時的內容安全性原則	low
112551	缺少內容安全性原則	low
112529	遺漏「X-Content-Type-Options」標頭	low
112527	已停用「X-XSS-Protection」標頭	info
112526	遺漏「X-XSS-Protection」標頭	info
98060	遺漏「X-Frame-Options」標頭	low
98057	不安全的「Access-Control-Allow-Origin」標頭	low
98056	遺漏 HTTP 嚴格傳輸安全性原則	medium

偵測

Web App Scanning 的 HTTP Security Header 系列

info

info

medium

medium

low

low

info

info

info

info

low

low

low

low

low

info

info

low

low

medium