「有効なセキュリティに関するHTTPヘッダ」の版間の差分

提供: セキュリティ
移動: 案内検索
行3: 行3:
 
-->
 
-->
  
読み方
+
このページでは、有効なセキュリティに関連する[[HTTPヘッダー]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。
  
 
== 概要 ==
 
== 概要 ==
  
このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。
+
このページでは、有効なセキュリティに関連する[[HTTPヘッダー]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。
  
 
{|class="wikitable"
 
{|class="wikitable"

2013年5月1日 (水) 19:10時点における版


このページでは、有効なセキュリティに関連するHTTPヘッダーを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

概要

このページでは、有効なセキュリティに関連するHTTPヘッダーを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

セキュリティに関連するHTTPヘッダ一覧
フィールド名 説明
Strict-Transport-Security サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。 Strict-Transport-Security: max-age=16070400; includeSubDomains
X-Frame-Options, Frame-Options クリックジャッキングから保護します。

値:

deny 
フレームでは、レンダーしません。
sameorigin 
オリジンとマッチしないときレンダーしません。
allow-from\
URL: URLからロードされたらフレームのレンダーを許可します。
X-Frame-Options: deny
X-XSS-Protection このヘッダは、最近のブラウザに組み込まれている XSS フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別なWebサイトのために、再度有効にします。 X-XSS-Protection: 1; mode=block
X-Content-Type-Options 設定できる値は、 nosniff です。Internet ExplorerGoogle Crhomeがコンテンツタイプの定義を無視して、レスポンスのMIME X-Content-Type-Options: nosniff
X-Content-Security-Policy, X-WebKit-OSP X-WebKit-CSP: default-src 'self'

インストール

 

使い方

 

関連項目