有効なセキュリティに関するHTTPヘッダ

このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

概要

このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

セキュリティに関連するHTTPヘッダ一覧
フィールド名	説明	例
Strict-Transport-Security	サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。	Strict-Transport-Security: max-age=16070400; includeSubDomains
X-Frame-Options, Frame-Options	クリックジャッキングから保護します。値: deny フレームでは、レンダーしません。 sameorigin オリジンとマッチしないときレンダーしません。 allow-from\ URL: URLからロードされたらフレームのレンダーを許可します。	X-Frame-Options: deny
X-XSS-Protection	このヘッダは、最近のウェブブラウザに組み込まれている XSS フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別なウェブサイトのために、再度有効にします。	X-XSS-Protection: 1; mode=block
X-Content-Type-Options	設定できる値は、 nosniff です。Internet ExplorerやGoogle Chromeがコンテンツタイプの定義を無視して、レスポンスのMIME	X-Content-Type-Options: nosniff
X-Content-Security-Policy, Content-Security-Policy, X-WebKit-OSP	script sourceのロード先やeval等の実行を制御します。	X-WebKit-CSP: default-src 'self'