「有効なセキュリティに関するHTTPヘッダ」の版間の差分
提供: セキュリティ
(同じ利用者による、間の5版が非表示) | |||
行1: | 行1: | ||
− | + | このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。 | |
− | + | ;HTTPヘッダ:えいちてぃーてぃーぴーへっだー | |
− | + | __TOC__ | |
− | + | ||
− | + | ||
== 概要 == | == 概要 == | ||
− | |||
このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。 | このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。 | ||
行19: | 行16: | ||
| Strict-Transport-Security: max-age=16070400; includeSubDomains | | Strict-Transport-Security: max-age=16070400; includeSubDomains | ||
|- | |- | ||
− | | [[X-Frame-Options]], | + | | [[X-Frame-Options]], Frame-Options |
| [[クリックジャッキング]]から保護します。 | | [[クリックジャッキング]]から保護します。 | ||
値: | 値: | ||
行28: | 行25: | ||
|- | |- | ||
| [[X-XSS-Protection]] | | [[X-XSS-Protection]] | ||
− | | このヘッダは、最近の[[ | + | | このヘッダは、最近の[[ウェブブラウザ]]に組み込まれている [[XSS]] フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別な[[ウェブサイト]]のために、再度有効にします。 |
| X-XSS-Protection: 1; mode=block | | X-XSS-Protection: 1; mode=block | ||
|- | |- | ||
| [[X-Content-Type-Options]] | | [[X-Content-Type-Options]] | ||
− | | 設定できる値は、 '''nosniff''' です。[[Internet Explorer]] | + | | 設定できる値は、 '''nosniff''' です。[[Internet Explorer]]やGoogle Chromeがコンテンツタイプの定義を無視して、レスポンスのMIME |
| X-Content-Type-Options: nosniff | | X-Content-Type-Options: nosniff | ||
|- | |- | ||
− | | [[X-Content-Security-Policy]], [[X-WebKit-OSP | + | | [[X-Content-Security-Policy]], [[Content-Security-Policy]], X-WebKit-OSP |
− | | | + | | script sourceのロード先やeval等の実行を制御します。 |
| X-WebKit-CSP: default-src 'self' | | X-WebKit-CSP: default-src 'self' | ||
|} | |} | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
== 関連項目 == | == 関連項目 == | ||
− | + | * [[Hypertext Transfer Protocol]] | |
− | * [[ | + | <!-- |
− | + | vim: filetype=mediawiki | |
+ | --> |
2015年4月29日 (水) 01:19時点における最新版
このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。
- HTTPヘッダ
- えいちてぃーてぃーぴーへっだー
概要
このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。
フィールド名 | 説明 | 例 |
---|---|---|
Strict-Transport-Security | サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。 | Strict-Transport-Security: max-age=16070400; includeSubDomains |
X-Frame-Options, Frame-Options | クリックジャッキングから保護します。
値:
|
X-Frame-Options: deny |
X-XSS-Protection | このヘッダは、最近のウェブブラウザに組み込まれている XSS フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別なウェブサイトのために、再度有効にします。 | X-XSS-Protection: 1; mode=block |
X-Content-Type-Options | 設定できる値は、 nosniff です。Internet ExplorerやGoogle Chromeがコンテンツタイプの定義を無視して、レスポンスのMIME | X-Content-Type-Options: nosniff |
X-Content-Security-Policy, Content-Security-Policy, X-WebKit-OSP | script sourceのロード先やeval等の実行を制御します。 | X-WebKit-CSP: default-src 'self' |