Strict-Transport-Security (HSTS) not enforced
Strict-Transport-Security (HSTS) が強制されていない
説明
HTTPの Strict-Transport-Security 応答ヘッダー(略称HSTS)を使用すると、ウェブサイトはブラウザーに対して、HTTPではなくHTTPSを使用してのみアクセスするように指示できます。
この脆弱性を悪用するには、攻撃者はターゲットからのネットワークトラフィックを傍受し、変更する必要があります。
これには、クライアントが公衆Wi-Fiなどの安全でない接続を介してサーバーと通信する必要があります。
推奨事項
サーバーは、トランスポートセキュリティを使用するようにブラウザーに指示するために、すべてのHTTP応答に Strict-Transport-Security ヘッダーを追加する必要があります。
HSTSは初回使用時にのみ有効であり、アプリケーションにアクセスしたことのないユーザーは依然としてSSLストリッピング攻撃に対して脆弱です。