检测到多个名称相同的 HTTP 标头。RFC 7230 规定，服务器不得以相同的字段名称生成多个标头字段，除非该标头字段的整个字段值被定义为以逗号分隔的列表，或该标头字段是公认的例外情况。跨多个标头实例拆分的字符串可能产生不可预测的结果，因为在重组过程中，原始序列化程序控制范围之外的其他元素（如命令字符和空白符）可能被插入。

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。

可以使用以下设置定义 HSTS 策略：

 - max-age：浏览器应当记住的站点只能通过 HTTPS 访问的时长（以秒为单位）。

 - includeSubDomains（可选）：如果指定了此属性，则该策略适用于所有当前站点子域。

 - preload（可选）：Google 维护了一个编译的域列表，该列表直接分发在某些浏览器中，以在不检查 HSTS HTTP 标头的情况下强制执行 HTTPS。由于域提交过程是公开的，因此在提交域以进行预加载时，preload 属性将被用作验证机制。

扫描程序在目标应用程序上检测到 HSTS 策略。

跨源资源共享 (CORS) 是一种 HTML5 技术，现代 Web 浏览器可借此绕过同源策略实施的限制。

同源策略要求 JavaScript 和页面都从相同的域加载，才能允许 JavaScript 与页面交互。这反过来可以防止从外部域加载 JavaScript 时执行恶意 JavaScript。

CORS 策略可让应用程序为浏览器实施的安全措施指定例外情况，并支持开发人员指定允许执行并与页面进行交互的外部 JavaScript 的许可名单。

不安全的 CORS 配置可让任何网站利用用户凭据对目标应用程序触发请求并读取响应，从而使攻击者执行特权操作或检索潜在的敏感信息。

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。

检测到的 HSTS 策略不具有长 max-age 值（以毫秒为单位），该值表示客户端浏览器遵循该标头策略的时间长度；或者，该策略并未通过 includeSubDomains 指令涵盖所有子域名。

Content-Type 标头可让客户端找到一种合适的方式来渲染数据，如果省略了此标头，则可能促使发生 MIME 类型嗅探攻击。

远程 Web 服务器发送的 HTTP 标头会泄露可供攻击者利用的信息，例如 Web 服务器所使用的服务器版本和技术。

Expect-CT 标头可让网站选择启用证书透明度要求的报告和/或执行功能，从而防止使用该网站发布的错误证书这一行为被忽视。此 URL 被标记为特定示例。

Expect-CT 可能会在 2021 年 6 月淘汰。自 2018 年 5 月起，新证书预计默认支持 SCT。经允许，2018 年 3 月之前的证书可具有 39 个月的生命周期，这些证书将于 2021 年 6 月全部到期。

引用策略为网站提供机制，以限制浏览器允许添加的引用信息（在引用标头中发送）。

未检测到任何引用策略标头或元标签配置。

权限策略为网站提供了一些机制，以限制在其自身的框架及其嵌入的 iframe 中浏览器功能的使用。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

已检测到 CSP，但其配置为仅报告模式。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

检测到一个或多个宽松指令。请参阅输出以了解详情。

HTTP“Cache-Control”标头用于指定缓存机制的指令。

服务器未返回或返回了无效的“Cache-Control”标头，这意味着包含敏感信息（密码、信用卡、个人数据、社会安全号码等）的页面可能会被存储在客户端磁盘上，并可能暴露给未经授权的人员。此 URL 被标记为特定示例。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

已弃用 X-Content-Security-Policy 和 X-Webkit-CSP HTTP 标头以实施 CSP。

内容安全策略 (CSP) 是一种 Web 安全标准，可帮助缓解跨站脚本 (XSS)、点击劫持或混合内容问题等攻击。CSP 为网站提供限制浏览器可加载内容的机制。

未在此主机上检测到 CSP 标头。此 URL 被标记为特定示例。

HTTP“X-Content-Type-Options”响应标头可以防止浏览器不按照声明的 content-type 对响应进行 MIME 嗅探。

服务器未返回正确的“X-Content-Type-Options”标头，这意味着该网站可能存在遭受跨站脚本 (XSS) 攻击的风险。

HTTP“X-XSS-Protection”响应头是现代浏览器的一项功能，可允许网站控制其 XSS 审计器。

服务器未返回正确的“X-XSS-Protection”标头，这意味着该网站可能存在遭受跨站脚本 (XSS) 攻击的风险。

如果不需要旧版浏览器支持，建议使用 Content-Security-Policy 而不允许不安全的内联脚本。

HTTP“X-XSS-Protection”响应头是现代浏览器的一项功能，可允许网站控制其 XSS 审计器。

服务器未配置为返回“X-XSS-Protection”标头，这意味着该网站上的任何页面可能存在遭受跨站脚本 (XSS) 攻击的风险。此 URL 被标记为特定示例。

如果不需要旧版浏览器支持，建议使用 Content-Security-Policy 而不允许不安全的内联脚本。

点击劫持（用户界面伪装攻击，UI 伪装攻击，UI 伪装）是一种恶意技术，其可诱骗 Web 用户点击与用户预期所点击的内容不同的内容，从而可能当用户在看似无害的网页上点击时泄露用户的机密信息或控制其计算机。

服务器未返回“X-Frame-Options”标头，这意味着此网站可能面临点击劫持攻击的风险。

“X-Frame-Options”HTTP 响应标头可用于指示是否应允许浏览器在框架或 iframe 内渲染页面。网站可利用此标头，通过确保其内容未嵌入到其他网站中，来避免点击劫持攻击。

跨源资源共享 (CORS) 是一种 HTML5 技术，现代 Web 浏览器可借此绕过同源策略实施的限制。

同源策略要求 JavaScript 和页面都从相同的域加载，才能允许 JavaScript 与页面交互。这反过来可以防止从外部域加载 JavaScript 时执行恶意 JavaScript。

CORS 策略可让应用程序为浏览器实施的安全措施指定例外情况，并支持开发人员指定允许执行并与页面进行交互的外部 JavaScript 的许可名单域。

“Access-Control-Allow-Origin”标头设置为“*”或为空时是不安全的，因为它允许任何域执行跨域请求和读取响应。攻击者可以滥用此配置，从不使用标准身份验证机制的应用程序（例如，仅允许从内部网络访问的 Intranet）中检索隐私内容。

HTTP 协议本身是明文传输的，这意味着通过 HTTP 协议传输的任何数据都可能被截获，并且其内容可以被查看。如要保护数据隐私并防止其被截获，HTTP 通常会通过安全套接字层 (SSL) 或传输层安全 (TLS) 进行加密传输。当使用这两种加密标准中的任意一种时，这种协议被称为 HTTPS。

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。即使用户请求同一服务器上的 HTTP 资源，浏览器也会强制执行此操作。

网络犯罪分子经常尝试利用 HTTP 协议，来试图破坏从客户端传递到服务器的敏感信息。这可以通过各种中间人 (MiTM) 攻击或通过网络数据包捕获的方式来进行。

扫描程序发现受影响的应用程序正在使用 HTTPS，但并未使用 HSTS 标头。

ID	名称	严重性
113333	检测到重复的 HTTP 标头	info
112535	检测到 HTTP 严格传输安全策略	info
98983	跨源资源共享配置不安全	medium
98715	检测到宽松的 HTTP 严格传输安全策略	medium
98648	缺少“Content-Type”标头	low
98618	HTTP 标头信息泄露	low
98612	缺少“Expect-CT”标头（已弃用）	info
98527	缺少引用策略	info
98526	缺少权限策略	info
112555	检测到仅报告模式的内容安全策略	info
112554	检测到宽松的内容安全策略	low
112553	缺少“Cache-Control”标头	low
112552	已弃用的内容安全策略	low
112551	缺少内容安全策略	low
112529	缺少“X-Content-Type-Options”标头	low
112527	禁用的“X-XSS-Protection”标头	info
112526	缺少“X-XSS-Protection”标头	info
98060	缺少“X-Frame-Options”标头	low
98057	“Access-Control-Allow-Origin”标头不安全	low
98056	缺少 HTTP 严格传输安全策略	medium

检测

Web App Scanning 的 HTTP Security Header 系列

info

info

medium

medium

low

low

info

info

info

info

low

low

low

low

low

info

info

low

low

medium