「Strict-Transport-Security」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> Webサイトにアクセスをする場合に、セキュアコネクション(HTTPS)を利用するように、 [[HTTPレスポ...」)
 
行28: 行28:
  
 
  Strict-Transport-Security: max-age=500
 
  Strict-Transport-Security: max-age=500
 +
 +
=== Apache HTTP Server での設定 ===
 +
 +
<syntaxhighlight lang="apache">
 +
# 80 へのアクセスをHTTPSにリダイレクトする例
 +
<VirtualHost *:80>
 +
      ServerAlias *
 +
      RewriteEngine On
 +
      RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301]
 +
</VirtualHost>
 +
 +
# ヘッダの設定
 +
Header set Strict-Transport-Security "max-age=16070400; includeSubDomains"
 +
</syntaxhighlight>
  
 
== サポートブラウザ ==
 
== サポートブラウザ ==

2013年5月1日 (水) 19:31時点における版


Webサイトにアクセスをする場合に、セキュアコネクション(HTTPS)を利用するように、 HTTPレスポンスヘッダーのフィールドに Strict-Transport-Security (STS)を指定します。

読み方

Strict-Transport-Security
すとりくと とらんすぽーと せきゅりてぃ

概要

Strict-Transport-Security は、HTTPS (Transport Layer Security) を強制するためのHTTPヘッダーです。 HTTP でアクセスしたときに、このヘッダーが送信されても、ブラウザは、無視します。

HTTP Strict Transport Security や HTST とも呼ばれます。

書式

Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
expireTime
ブラウザが そのサイトに対してHTTPSでのみアクセスすることを記憶する秒数を指定します。
includeSubdomains
includeSubdomains を指定した場合、サブドメインに対しても、適用されます。

使い方

HTTPヘッダーの例

Strict-Transport-Security: max-age=500

Apache HTTP Server での設定

# 80 へのアクセスをHTTPSにリダイレクトする例
<VirtualHost *:80>
       ServerAlias *
       RewriteEngine On
       RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301]
</VirtualHost>
 
# ヘッダの設定
Header set Strict-Transport-Security "max-age=16070400; includeSubDomains"

サポートブラウザ

対応ブラウザ
ブラウザ バージョン
Chrome 4.0.211.0
Firefox 4.0
Internet Explorer -
Opera 12
Safari -

関連項目