「有効なセキュリティに関するHTTPヘッダ」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 == 概要 == このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実...」) |
|||
| 行28: | 行28: | ||
|- | |- | ||
| [[X-XSS-Protection]] | | [[X-XSS-Protection]] | ||
| − | | | + | | このヘッダは、最近の[[ブラウザ]]に組み込まれている [[XSS]] フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別な[[Webサイト]]のために、再度有効にします。 |
| X-XSS-Protection: 1; mode=block | | X-XSS-Protection: 1; mode=block | ||
|- | |- | ||
| [[X-Content-Type-Options]] | | [[X-Content-Type-Options]] | ||
| − | | | + | | 設定できる値は、 '''nosniff''' です。[[Internet Explorer]]や[[Google Crhome]]がコンテンツタイプの定義を無視して、レスポンスのMIME |
| X-Content-Type-Options: nosniff | | X-Content-Type-Options: nosniff | ||
|- | |- | ||
| 行50: | 行50: | ||
== 関連項目 == | == 関連項目 == | ||
| + | |||
| + | * [[コンテンツスニッフィング]] | ||
| + | * [[MIMEスニッフィング]] | ||
2013年4月28日 (日) 01:40時点における版
読み方
概要
このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。
| フィールド名 | 説明 | 例 |
|---|---|---|
| Strict-Transport-Security | サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。 | Strict-Transport-Security: max-age=16070400; includeSubDomains |
| X-Frame-Options, Frame-Options | クリックジャッキングから保護します。
値:
|
X-Frame-Options: deny |
| X-XSS-Protection | このヘッダは、最近のブラウザに組み込まれている XSS フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別なWebサイトのために、再度有効にします。 | X-XSS-Protection: 1; mode=block |
| X-Content-Type-Options | 設定できる値は、 nosniff です。Internet ExplorerやGoogle Crhomeがコンテンツタイプの定義を無視して、レスポンスのMIME | X-Content-Type-Options: nosniff |
| X-Content-Security-Policy, X-WebKit-OSP | X-WebKit-CSP: default-src 'self' |