Может ли кто-нибудь предложить, почему данные Риск являются пустыми для многих предупреждений в подробностях предупреждений OWASP ZAP, доступных на следующем официальном сайте ZAP:
https://www.zaproxy.org/docs/alerts/
Например -
Id Alert Risk
10011 Cookie Without Secure Flag Low
10009 In Page Banner Information Leak
10015 Incomplete or No Cache-control and Pragma HTTP Header Set
10017 Cross-Domain JavaScript Source File Inclusion
10019 Content-Type Header Missing
10020 X-Frame-Options Header
10020-1 X-Frame-Options Header Not Set Medium
Как в таких случаях следует определять риск или серьезность. Должен ли он быть основан на том, применим ли риск к конкретному веб-приложению.
Кроме того, для некоторых предупреждений в отчетах ZAP Риск заполняется, например, Низкий (Средний). Следует ли считать его низким или средним.