Strict-Transport-Security ヘッダがないか無効です。
説明
このStrict-Transport-Security ヘッダが見つからないか、無効 Strict-Transport-Securityであることが判明しました。Strict-Transport-Security この Strict-Transport-Securityヘッダーを使用すると、ウェブサイトオペレーションは TLS 接続で通信を行うように強制できます。このヘッダーを有効にすることで、ウェブサイトは様々な形のネットワーク盗聴や傍受攻撃からユーザーを守ることができます。ほとんどのブラウザはコンテンツの混在(HTTPSサイトからナビゲートする際にHTTPからリソースをロードすること)を防ぎますが、このヘッダーはまた、すべてのリソース要求が安全なトランスポートを介してのみ開始されることを保証します。
対処法
Strict-Transport-Security ヘッダには三つのディレクティブしか適用できません。
-
max-age:この必須ディレクティブは応答を受け取ってからどれくらいの時間 (秒単位) セキュアなトランスポートでのみ通信するかを指定します。 -
includeSubDomains:このオプションの値なしディレクティブは、 このポリシーがこのホストと、このホストのドメイン配下にある すべてのサブドメインに適用されることを示します。 -
preload:仕様の一部ではありませんが、このオプション値を設定することで、主要なブラウザ組織は、このサイトをブラウザの HTTPS サイトのプリロードセットに追加することができます。これには、ブラウザのHSTSプリロード・リストにドメインを登録するために、ウェブサイト・オペレータのさらなるアクションが必要です。詳細については、hstspreload.orgを参照してください。
無効なディレクティブや、Strict-Transport-Security ヘッダが (値が異なっていれば) 複数回現れた場合は無効とみなされます。
あなたのウェブサイトにこのセキュリティ設定を追加する前に、hstspreload.orgデプロイの推奨をレビューすることをお勧めします。
詳細
| ID | 集計 | CWE | 種類 | リスク |
|---|---|---|---|---|
| 16.7 | true | 16 | 受動的 | 低 |