内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

“report-to”指令让网站可以指定浏览器可发送 CSP 违规报告的报告端点。这有助于管理员监控违反策略的行为，并微调其安全策略。

尽管已在此主机上检测到内容安全策略，但系统缺少“report-to”指令，这意味着它不会自动报告潜在的违规行为。这会降低有助于识别和修复问题的安全事件的可见性。

内容安全策略 (CSP) 是一种 Web 安全标准，通过限制浏览器可以加载的资源来帮助防止 XSS、点击劫持和混合内容等攻击。

在 CSP 中检测到多个高风险来源，通过宽松域或公共 CDN 可以绕过这些保护。尽管有 CSP 限制，攻击者仍可利用这些宽松源来注入恶意内容。

Content-Type 标头可让客户端找到呈现数据的适当方式，遗漏字符集可导致多种行为，如滥用浏览器自动检测机制的跨站脚本攻击。

检测到多个名称相同的 HTTP 标头。RFC 7230 规定，服务器不得以相同的字段名称生成多个标头字段，除非该标头字段的整个字段值被定义为以逗号分隔的列表，或该标头字段是公认的例外情况。跨多个标头实例拆分的字符串可能产生不可预测的结果，因为在重组过程中，原始序列化程序控制范围之外的其他元素（如命令字符和空白符）可能被插入。

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。

可以使用以下设置定义 HSTS 策略：

 - max-age：浏览器应当记住的站点只能通过 HTTPS 访问的时长（以秒为单位）。

 - includeSubDomains（可选）：如果指定了此属性，则该策略适用于所有当前站点子域。

 - preload（可选）：Google 维护了一个编译的域列表，该列表直接分发在某些浏览器中，以在不检查 HSTS HTTP 标头的情况下强制执行 HTTPS。由于域提交过程是公开的，因此在提交域以进行预加载时，preload 属性将被用作验证机制。

扫描程序在目标应用程序上检测到 HSTS 策略。

跨源资源共享 (CORS) 是一种 HTML5 技术，现代 Web 浏览器可借此绕过同源策略实施的限制。

同源策略要求 JavaScript 和页面都从相同的域加载，才能允许 JavaScript 与页面交互。这反过来可以防止从外部域加载 JavaScript 时执行恶意 JavaScript。

CORS 策略可让应用程序为浏览器实施的安全措施指定例外情况，并支持开发人员指定允许执行并与页面进行交互的外部 JavaScript 的许可名单。

不安全的 CORS 配置可让任何网站利用用户凭据对目标应用程序触发请求并读取响应，从而使攻击者执行特权操作或检索潜在的敏感信息。

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。

检测到的 HSTS 策略不具有长 max-age 值（以毫秒为单位），该值表示客户端浏览器遵循该标头策略的时间长度；或者，该策略并未通过 includeSubDomains 指令涵盖所有子域名。

Content-Type 标头可让客户端找到一种合适的方式来渲染数据，如果省略了此标头，则可能促使发生 MIME 类型嗅探攻击。

远程 Web 服务器发送的 HTTP 标头会泄露可供攻击者利用的信息，例如 Web 服务器所使用的服务器版本和技术。

引用策略为网站提供机制，以限制浏览器允许添加的引用信息（在引用标头中发送）。

未检测到任何引用策略标头或元标签配置。

权限策略为网站提供了一些机制，以限制在其自身的框架及其嵌入的 iframe 中浏览器功能的使用。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

已检测到 CSP，但其配置为仅报告模式。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

检测到一个或多个宽松指令。请参阅输出以了解详情。

HTTP“Cache-Control”标头用于指定缓存机制的指令。

服务器未返回或返回了无效的“Cache-Control”标头，这意味着包含敏感信息（密码、信用卡、个人数据、社会安全号码等）的页面可能会被存储在客户端磁盘上，并可能暴露给未经授权的人员。此 URL 被标记为特定示例。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

已弃用 X-Content-Security-Policy 和 X-Webkit-CSP HTTP 标头以实施 CSP。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

未在此主机上检测到 CSP 标头。此 URL 被标记为特定示例。

SameSite 是可在 Cookie 上设置的属性，用于指示 Web 浏览器是否可发送此 Cookie 与跨站请求，以帮助防止跨站请求伪造 (CSRF) 攻击。

该属性具有三个可能的值：

 - Strict：Cookie 将仅在第一方上下文中发送，进而防止从第三方网站发起的包含 Cookie 的跨站请求。

 - Lax：允许在由第三方网站的顶级导航发起的 GET 跨站请求中发送 Cookie。例如，点击来自外部网站的超文本链接会使请求中包含 Cookie。

 - None：cookie 被明确设置为由浏览器在任何上下文中发送。

扫描程序发现，应用程序设置的 Cookie 中缺少 SameSite 属性或存在错误配置。

HTTP“X-Content-Type-Options”响应标头可以防止浏览器不按照声明的 content-type 对响应进行 MIME 嗅探。

服务器未返回正确的“X-Content-Type-Options”标头，这意味着该网站可能存在遭受跨站脚本 (XSS) 攻击的风险。

当 Cookie 设置了 `secure` 标记时，浏览器将阻止其通过明文通道 (HTTP) 发送，而且仅在使用了加密通道 (HTTPS) 时才允许发送。

扫描程序发现服务器设置了未设置安全标记的 Cookie。尽管此 Cookie 的初始设置是通过 HTTPS 连接，但指向同一服务器的任何 HTTP 链接都将导致 Cookie 以明文发送。

请注意，如果 Cookie 不包含敏感信息，则可缓解此漏洞的风险。

HttpOnly 标记有助于防止客户端脚本（如 JavaScript）访问和使用 Cookie。

这有助于防止 XSS 攻击针对保存客户端会话标记的 Cookie（设置 HttpOnly 标记不能防止，也不能防护 XSS 漏洞本身）。

HTTP 本身为无状态协议。因此，服务器无法确定哪些请求是由哪个客户端执行的，以及哪些客户端经过身份验证或未经身份验证。

在标头内使用 HTTP Cookie 可让 Web 服务器识别每个单独的客户端，从而确定哪些客户端持有有效的身份验证信息，哪些不持有。这被称为会话 Cookie。

当服务器设置 Cookie（发送 HTTP 响应的标头）时，可设置多个标记，以配置 Cookie 的属性以及浏览器的处理方式。

其中一个标记代表可以使用 Cookie 的主机或域。

当 Cookie 是针对父域而非主机设置时，这可能表示相同的 Cookie 可用于访问该域内的其他主机。尽管这有很多合理的原因，但也可能是错误配置扩大了潜在攻击面。

点击劫持（用户界面伪装攻击，UI 伪装攻击，UI 伪装）是一种恶意技术，其可诱骗 Web 用户点击与用户预期所点击的内容不同的内容，从而可能当用户在看似无害的网页上点击时泄露用户的机密信息或控制其计算机。

服务器未返回“X-Frame-Options”标头，这意味着此网站可能面临点击劫持攻击的风险。

“X-Frame-Options”HTTP 响应标头可用于指示是否应允许浏览器在框架或 iframe 内渲染页面。网站可利用此标头，通过确保其内容未嵌入到其他网站中，来避免点击劫持攻击。

跨源资源共享 (CORS) 是一种 HTML5 技术，现代 Web 浏览器可借此绕过同源策略实施的限制。

同源策略要求 JavaScript 和页面都从相同的域加载，才能允许 JavaScript 与页面交互。这反过来可以防止从外部域加载 JavaScript 时执行恶意 JavaScript。

CORS 策略可让应用程序为浏览器实施的安全措施指定例外情况，并支持开发人员指定允许执行并与页面进行交互的外部 JavaScript 的许可名单域。

“Access-Control-Allow-Origin”标头设置为“*”或为空时是不安全的，因为它允许任何域执行跨域请求和读取响应。攻击者可以滥用此配置，从不使用标准身份验证机制的应用程序（例如，仅允许从内部网络访问的 Intranet）中检索隐私内容。

HTTP 协议本身是明文传输的，这意味着通过 HTTP 协议传输的任何数据都可能被截获，并且其内容可以被查看。如要保护数据隐私并防止其被截获，HTTP 通常会通过安全套接字层 (SSL) 或传输层安全 (TLS) 进行加密传输。当使用这两种加密标准中的任意一种时，这种协议被称为 HTTPS。

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。即使用户请求同一服务器上的 HTTP 资源，浏览器也会强制执行此操作。

网络犯罪分子经常尝试利用 HTTP 协议，来试图破坏从客户端传递到服务器的敏感信息。这可以通过各种中间人 (MiTM) 攻击或通过网络数据包捕获的方式来进行。

扫描程序发现受影响的应用程序正在使用 HTTPS，但并未使用 HSTS 标头。

ID	名称	严重性
114796	内容安全策略缺少“report-to”	low
114564	内容安全策略宽松源	info
114382	缺少“Content-Type”字符集	low
113333	检测到重复的 HTTP 标头	info
112535	检测到 HTTP 严格传输安全策略	info
98983	跨源资源共享配置不安全	medium
98715	检测到宽松的 HTTP 严格传输安全策略	low
98648	缺少“Content-Type”标头	low
98618	HTTP 标头信息泄露	low
98527	缺少引用策略	info
98526	缺少权限策略	info
112555	检测到仅报告模式的内容安全策略	info
112554	检测到宽松的内容安全策略	low
112553	缺少“Cache-Control”标头	low
112552	已弃用的内容安全策略	low
112551	缺少内容安全策略	low
115540	检测到无 SameSite 标记的 Cookie	low
112529	缺少“X-Content-Type-Options”标头	low
98064	检测到无安全标记的 Cookie	low
98063	检测到无 HttpOnly 标记的 Cookie	low
98062	为父域设置的 Cookie 集	info
98060	缺少“X-Frame-Options”标头	low
98057	“Access-Control-Allow-Origin”标头不安全	low
98056	缺少 HTTP 严格传输安全策略	medium

检测

Web App Scanning 的 HTTP Security Header 系列

low

info

low

info

info

medium

low

low

low

info

info

info

low

low

low

low

low

low

low

low

info

low

low

medium