內容安全原則 (CSP) 是一種 Web 安全標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

網站可透過「report-to」指示詞指定報告端點，以供瀏覽器傳送 CSP 違規報告。這有助於系統管理員監控原則違規情況，並微調其安全原則。

雖然此主機已偵測到內容安全原則，但卻缺少「report-to」指示詞，這表示系統不會自動報告潛在的違規情況。這會降低安全事件的能見度，進而錯失及早發現並修復問題的機會。

內容安全性原則 (CSP) 是一種 Web 安全性標準，可透過限制瀏覽器可載入的資源來協助防止 XSS、點擊劫持和混合內容等攻擊。

在 CSP 中偵測到數個高風險來源，其可能允許攻擊者透過寬鬆網域或公開 CDN 來繞過這些保護。攻擊者可利用這些寬鬆來源，不顧 CSP 限制而插入惡意內容。

Content-Type 標頭可讓用戶端找到轉譯資料的適當方式，遺漏字元集可導致多種行為，例如濫用瀏覽器自動偵測機制的跨網站指令碼攻擊。

已偵測到多個同名的 HTTP 標頭。RFC 7230 指出伺服器不得產生多個具有相同欄位名稱的標頭欄位，除非該標頭欄位的整個欄位值已定義為逗號分隔清單，或是該標頭欄位是已知的例外狀況。跨多個標頭執行個體分割的字串可能會產生無法預測的結果，這是因為在重組期間，可能會在原始序列化程式無法控制的範圍內插入其他元素，例如命令和空格。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。

可使用下列設定定義 HSTS 原則：

 - max-age：瀏覽器應記住只能以 HTTPS 存取網站的時間 (以秒為單位)。

 - includeSubDomains (選用)：如果已指定此屬性，則原則會套用至所有目前的網站子網域。

 - 預先載入 (選用)：Google 會維護已編譯的網域清單，此清單在某些瀏覽器中會直接發佈，以強制執行 HTTPS 而不檢查 HSTS HTTP 標頭。由於網域提交處理程序是公開的，因此在提交網域進行預先載入時，會使用 preload 屬性作為驗證。

掃描程式在目標應用程式上偵測到 HSTS 原則。

跨來源資源共用 (CORS) 是一種 HTML5 技術，可讓現代網頁瀏覽器繞過由同源原則實作的限制。

同源原則要求 JavaScript 和頁面都必須從相同網域載入，才能允許 JavaScript 與頁面互動。這也可以防止從外部網域載入時執行惡意 JavaScript。

CORS 原則允許應用程式針對瀏覽器實作的保護指定例外狀況，並讓開發人員能夠指定允許外部 JavaScript 執行並與頁面互動的允許清單。

不安全的 CORS 設定允許任何網站以目標應用程式的使用者憑證觸發要求並讀取回應，進而讓攻擊者能夠執行有特殊權限的動作，或擷取潛在的敏感資訊。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。

偵測到的 HSTS 原則沒有較長的 max-age 值，此表示法 (以毫秒為單位) 決定用戶端瀏覽器遵守標頭原則或不透過 includeSubDomains 指示詞涵蓋子網域的時間。

Content-Type 標頭可讓用戶端找到轉譯資料的適當方式，如果遺漏此標頭，可能有助於 MIME 探查攻擊。

遠端 Web 伺服器傳送的 HTTP 標頭會洩漏可供攻擊者利用的資訊，例如 Web 伺服器所使用的伺服器版本和技術。

參照位址原則提供網站限制瀏覽器可新增參照位址資訊 (在 Referrer 標頭中傳送) 的機制。

未偵測到任何參照位址原則標頭或中繼標籤設定。

權限原則提供網站在其自身框架內或其內嵌的 iframe 中限制使用瀏覽器功能的機制。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

已偵測到 CSP，但其設定為「僅報告」模式。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

偵測到一個或多個寬鬆的指示詞。請參閱輸出以取得詳細資料。

HTTP「Cache-Control」標頭用於指定快取機制的指示詞。

伺服器未傳回或傳回無效的「Cache-Control」標頭，這表示含有敏感資訊 (密碼、信用卡、個人資料、社會安全號碼等) 的頁面可能儲存在用戶端磁碟上，然後洩漏給未經授權的使用者。此 URL 已標記為特定範例。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

X-Content-Security-Policy 和 X-Webkit-CSP HTTP 標頭已過時，無法實作 CSP。

內容安全性原則 (CSP) 是一種 Web 安全性標準，有助於減輕跨網站指令碼 (XSS)、點擊劫持或混合內容問題等攻擊。CSP 為網站提供機制以限制允許瀏覽器載入的內容。

在此主機上未偵測到 CSP 標頭。此 URL 已標記為特定範例。

SameSite 是一個可在 Cookie 上設定的屬性，用於指示 Web 瀏覽器是否可將此 Cookie 與跨網站要求一起傳送，以協助防止跨網站要求偽造 (CSRF) 攻擊。

該屬性具有三個可能的值：

 - Strict : the cookie will only be sent in a first-party context, thus preventing cross-site requests initiated from third-party websites to include it.

 - Lax : the cookie is allowed to be sent in GET cross-site requests initiated by the top-level navigation from third-party websites. 例如，從外部網站前往超文字連結會使要求包含 Cookie。

 - None : the cookie is explicitly set to be sent by the browser in any context.

掃描程式發現應用程式設定的 Cookie 缺少 SameSite 屬性，或是具有錯誤設定。

HTTP「X-Content-Type-Options」回應標頭可防止瀏覽器對脫離所宣告之 content-type 的回應執行 MIME 探查。

伺服器未傳回正確的「X-Content-Type-Options」標頭，這表示此網站可能會受到跨網站指令碼 (XSS) 攻擊。

對 Cookie 設定「secure」旗標時，瀏覽器會阻止透過純文字通道 (HTTP) 傳送 Cookie，只有在使用加密通道 (HTTPS) 時才允許傳送。

掃描程式發現伺服器設定了一個 Cookie，但未設定「secure」旗標。雖然此 Cookie 的初始設定是透過 HTTPS 連線傳送，但任何連至相同伺服器的 HTTP 連結都會導致 Cookie 以純文字傳送。

請注意，如果 Cookie 不包含敏感資訊，則此弱點的風險會降低。

HttpOnly 旗標可協助防止用戶端指令碼 (例如 JavaScript) 存取和使用 Cookie。

這有助於阻止以包含用戶端工作階段權杖的 Cookie 為目標發動的 XSS 攻擊 (設定 HttpOnly 旗標無法阻止或防禦 XSS 弱點本身)。

HTTP 本身是一種無狀態的通訊協定，因此伺服器無法判斷哪個用戶端執行了哪些要求，以及哪些用戶端經過驗證或未經驗證。

如果在標頭內使用 HTTP Cookie，Web 伺服器就可以識別每個個別的用戶端，並因此判斷哪些用戶端持有有效驗證，而哪些沒有。這些稱為「工作階段 Cookie」。

伺服器設定 Cookie 時 (傳送 HTTP 回應的標頭)，可設定數個旗標來設定 Cookie 的屬性，以及瀏覽器處理 Cookie 的方式。

其中一個旗標代表可使用 Cookie 的主機或網域。

當針對父網域而非主機設定 Cookie 時，這可能表示可使用相同的 Cookie 來存取該網域內的其他主機。雖然造成此問題的合理原因有很多，但也可能是設定錯誤擴大了可能的攻擊範圍。

點擊劫持 (使用者介面修正攻擊、UI 修正攻擊、UI 修正) 是一種誘騙 Web 使用者點擊不同於預期點擊內容的惡意技術，當使用者按一下看似無害的網頁時，可能會導致機密資訊遭洩漏或電腦被控制。

伺服器未傳回「X-Frame-Options」標頭，這表示此網站可能會遭受點擊劫持攻擊。

「X-Frame-Options」HTTP 回應標頭可用來指示是否應允許瀏覽器轉譯框架或 iframe 內的頁面。網站可藉此確保其內容不會內嵌到其他網站中，進而避免點擊劫持攻擊。

跨來源資源共用 (CORS) 是一種 HTML5 技術，可讓現代網頁瀏覽器繞過由同源原則實作的限制。

同源原則要求 JavaScript 和頁面都必須從相同網域載入，才能允許 JavaScript 與頁面互動。這也可以防止從外部網域載入時執行惡意 JavaScript。

CORS 原則允許應用程式針對瀏覽器實作的保護指定例外狀況，並讓開發人員能夠指定允許外部 JavaScript 執行並與頁面互動的允許網域清單。

當「Access-Control-Allow-Origin」標頭設定為「*」或 null 時，它會允許任何網域執行跨網域要求和讀取回應，因而不安全。攻擊者可濫用此設定，從不使用標準驗證機制的應用程式 (例如，僅允許從內部網路存取的內部網路) 中擷取私人內容。

HTTP 通訊協定本身為純文字，這表示使用者可擷取透過 HTTP 傳輸的任何資料並檢視內容。為確保資料私密以及防止資料遭攔截，我們通常會透過安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 來建立 HTTP 通道。當使用其中任何一個加密標準時，就稱為 HTTPS。

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。即使使用者要求相同伺服器上的 HTTP 資源，瀏覽器也會強制執行此動作。

網路不法份子通常會嘗試竊取使用 HTTP 從用戶端傳送至伺服器的敏感資訊，這可透過各種攔截式 (MiTM) 攻擊或透過網路封包擷取來完成。

掃描程式發現受影響的應用程式使用的是 HTTPS，但並未使用 HSTS 標頭。

ID	名稱	嚴重性
114796	內容安全原則缺少「Report-To」命令	low
114564	內容安全性原則寬鬆來源	info
114382	遺漏「Content-Type」字元集	low
113333	偵測到重複的 HTTP 標頭	info
112535	偵測到 HTTP 嚴格傳輸安全性原則	info
98983	不安全的跨來源資源共用設定	medium
98715	偵測到寬鬆的 HTTP 嚴格傳輸安全性原則	low
98648	遺漏「Content-Type」標頭	low
98618	HTTP 標頭資訊洩漏	low
98527	遺漏參照位址原則	info
98526	遺漏權限原則	info
112555	偵測到僅報告內容安全性原則	info
112554	偵測到寬鬆的內容安全性原則	low
112553	遺漏「Cache-Control」標頭	low
112552	過時的內容安全性原則	low
112551	缺少內容安全性原則	low
115540	偵測到沒有 SameSite 旗標的 Cookie	low
112529	遺漏「X-Content-Type-Options」標頭	low
98064	偵測到沒有 Secure 旗標的 Cookie	low
98063	偵測到沒有 HttpOnly 旗標的 Cookie	low
98062	父網域的 Cookie 集	info
98060	遺漏「X-Frame-Options」標頭	low
98057	不安全的「Access-Control-Allow-Origin」標頭	low
98056	遺漏 HTTP 嚴格傳輸安全原則	medium

偵測

Web App Scanning 的 HTTP Security Header 系列

low

info

low

info

info

medium

low

low

low

info

info

info

low

low

low

low

low

low

low

low

info

low

low

medium