この製品は、Flashのような生のヘッダーを処理できるウェブブラウザコンポーネントが使用できるHTTPヘッダー内のウェブスクリプティング構文を無効化しないか、誤って無効化します。
攻撃者は、これらのコンポーネントを有効にしているユーザーに対して、クロスサイトスクリプティングなどの攻撃を行うことができる可能性がある。
製品が、サーバーから来る HTTP レスポンスのヘッダーに置かれるユーザー制御データを無効化しない場合、そのヘッダーには、クライアントのブラウザーコンテキストで実行されるスクリプトが含まれる可能性があり、クロスサイトスクリプティング脆弱性や、場合によっては HTTP レスポンス分割攻撃を引き起こす可能性があります。HTTPレスポンス・ヘッダとHTTPレスポンス・ボディの両方に配置されるデータを注意深く制御し、さまざまなエンコーディングを考慮して、スクリプト構文が存在しないようにすることが重要です。
The product does not neutralize or incorrectly neutralizes web scripting syntax in HTTP headers that can be used by web browser components that can process raw headers, such as Flash.
An attacker may be able to conduct cross-site scripting and other attacks against users who have these components enabled.
If a product does not neutralize user controlled data being placed in the header of an HTTP response coming from the server, the header may contain a script that will get executed in the client's browser context, potentially resulting in a cross site scripting vulnerability or possibly an HTTP response splitting attack. It is important to carefully control data that is being placed both in HTTP response header and in the HTTP response body to ensure that no scripting syntax is present, taking various encodings into account.