有効なセキュリティに関するHTTPヘッダ
提供: セキュリティ
スポンサーリンク
このページでは、有効なセキュリティに関連するHTTPヘッダーを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。
- HTTPヘッダー
- えいちてぃーてぃーぴーへっだー
概要
このページでは、有効なセキュリティに関連するHTTPヘッダーを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。
フィールド名 | 説明 | 例 |
---|---|---|
Strict-Transport-Security | サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。 | Strict-Transport-Security: max-age=16070400; includeSubDomains |
X-Frame-Options, Frame-Options | クリックジャッキングから保護します。
値:
|
X-Frame-Options: deny |
X-XSS-Protection | このヘッダは、最近のウェブブラウザに組み込まれている XSS フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別なウェブサイトのために、再度有効にします。 | X-XSS-Protection: 1; mode=block |
X-Content-Type-Options | 設定できる値は、 nosniff です。Internet ExplorerやGoogle Chromeがコンテンツタイプの定義を無視して、レスポンスのMIME | X-Content-Type-Options: nosniff |
X-Content-Security-Policy, Content-Security-Policy, X-WebKit-OSP | script sourceのロード先やeval等の実行を制御します。 | X-WebKit-CSP: default-src 'self' |
関連項目
ツイート
スポンサーリンク