概要
| 脆弱性名(Ja) | 安全でない「Access-Control-Allow-Origin」ヘッダー |
| 脆弱性名(En) | Insecure ‘Access-Control-Allow-Origin’ Header |
| ID | 98057 |
| 危険度 | Low |
| ファミリー | HTTP Security Header |
説明
「Access-Control-Allow-Origin」ヘッダーは、異なるドメインからのリクエストを制御します。
このヘッダーが「*」やnullに設定されている場合、任意の外部サイトからのアクセスが許可され、悪意あるサイトがリソースにアクセスできる危険性があります。
リスク
このヘッダーが不適切に設定されていると、外部サイトからの不正なアクセスが許可され、プライベートなコンテンツや機密情報が漏洩する可能性があります。
特に、認証メカニズムを使用していないイントラネットや内部ネットワークで、攻撃者がクロスドメインリクエストを利用して不正な操作を行うリスクがあります。
検出トリガー
- HTTPレスポンスの「Access-Control-Allow-Origin: *」または
nullが設定されている
NG: Access-Control-Allow-Origin: *対策
信頼できるドメインを指定
特定のドメインだけにアクセスを許可する設定を行います。
Access-Control-Allow-Origin: https://example.com関連リンク
危険度が脆弱性ツールによって異なる場合があります。