4. 一位資安專家正在對某公司網站進行滲透測試，在測試期間發現了一 個跨網站指令碼（Cross-Site Scripting, XSS）的網站安全漏洞，若要針 對此弱點進行有效攻擊，需同時符合下列何項條件？
(A) 網站的安全旗標（secure flag）未設定
(B) 連線期間快取（session cookie）的 HttpOnly 旗標未設定
(C) 受害電腦沒有安裝端點防護軟體
(D) 受害電腦的瀏覽器需開啟 Active D 技術

A) 網站的安全旗標（secure flag）未設定： 安全旗標主要用於確保 cookie 只通過 HTTPS 傳輸。雖然這是一個重要的安全措施，但它主要防止的是中間人攻擊，而不是直接防止 XSS。因此，這不是 XSS 攻擊成功的必要條件。

B) 連線期間快取（session cookie）的 HttpOnly 旗標未設定： 這是一個關鍵條件。HttpOnly 旗標防止客戶端腳本訪問 cookie。如果這個旗標未設定，攻擊者的 XSS 腳本就可以讀取和竊取 session cookie，這通常是 XSS 攻擊的主要目標之一。因此，這是使 XSS 攻擊更有效的重要條件。

C) 受害電腦沒有安裝端點防護軟體： 雖然端點防護軟體可能會提供一些額外的安全層，但它通常不能完全防止 XSS 攻擊。XSS 主要是利用網站的漏洞，而不是客戶端系統的漏洞。因此，這不是 XSS 攻擊成功的必要條件。

D) 受害電腦的瀏覽器需開啟 Active D 技術： 這個選項似乎有些混淆或錯誤。沒有一個被廣泛認知的 "Active D" 技術與瀏覽器安全相關。可能是指 ActiveX，但即使是 ActiveX，它也不是現代 XSS 攻擊所必需的。現代的 XSS 攻擊通常不依賴於特定的瀏覽器技術。