「有効なセキュリティに関するHTTPヘッダ」の版間の差分

提供: セキュリティ
移動: 案内検索
 
(同じ利用者による、間の5版が非表示)
行1: 行1:
<!--
+
このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。
vim: filetype=mediawiki
+
;HTTPヘッダ:えいちてぃーてぃーぴーへっだー
-->
+
__TOC__
 
+
読み方
+
  
 
== 概要 ==
 
== 概要 ==
 
 
このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。
 
このページでは、有効なセキュリティに関連する[[HTTPヘッダ]]を紹介します。実際のアプリケーションコードを変更せずに、[[Webサーバ]]の設定で、ヘッダをセットできます。
  
行19: 行16:
 
| Strict-Transport-Security: max-age=16070400; includeSubDomains
 
| Strict-Transport-Security: max-age=16070400; includeSubDomains
 
|-
 
|-
| [[X-Frame-Options]], [[Frame-Options]]
+
| [[X-Frame-Options]], Frame-Options
 
| [[クリックジャッキング]]から保護します。
 
| [[クリックジャッキング]]から保護します。
 
値:
 
値:
行28: 行25:
 
|-
 
|-
 
| [[X-XSS-Protection]]
 
| [[X-XSS-Protection]]
| このヘッダは、最近の[[ブラウザ]]に組み込まれている [[XSS]] フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別な[[Webサイト]]のために、再度有効にします。
+
| このヘッダは、最近の[[ウェブブラウザ]]に組み込まれている [[XSS]] フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別な[[ウェブサイト]]のために、再度有効にします。
 
| X-XSS-Protection: 1; mode=block
 
| X-XSS-Protection: 1; mode=block
 
|-
 
|-
 
| [[X-Content-Type-Options]]
 
| [[X-Content-Type-Options]]
| 設定できる値は、 '''nosniff'''  です。[[Internet Explorer]]や[[Google Crhome]]がコンテンツタイプの定義を無視して、レスポンスのMIME
+
| 設定できる値は、 '''nosniff'''  です。[[Internet Explorer]]やGoogle Chromeがコンテンツタイプの定義を無視して、レスポンスのMIME
 
| X-Content-Type-Options: nosniff
 
| X-Content-Type-Options: nosniff
 
|-
 
|-
| [[X-Content-Security-Policy]], [[X-WebKit-OSP]]
+
| [[X-Content-Security-Policy]], [[Content-Security-Policy]], X-WebKit-OSP
|
+
| script sourceのロード先やeval等の実行を制御します。
 
| X-WebKit-CSP: default-src 'self'
 
| X-WebKit-CSP: default-src 'self'
 
|}
 
|}
 
== インストール ==
 
 
<syntaxhighlight lang="bash">
 
</syntaxhighlight>
 
 
== 使い方 ==
 
<syntaxhighlight lang="bash">
 
</syntaxhighlight>
 
 
 
== 関連項目 ==
 
== 関連項目 ==
 
+
* [[Hypertext Transfer Protocol]]
* [[コンテンツスニッフィング]]
+
<!--
* [[MIMEスニッフィング]]
+
vim: filetype=mediawiki
 +
-->

2015年4月29日 (水) 01:19時点における最新版

このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

HTTPヘッダ
えいちてぃーてぃーぴーへっだー

概要

このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

セキュリティに関連するHTTPヘッダ一覧
フィールド名 説明
Strict-Transport-Security サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。 Strict-Transport-Security: max-age=16070400; includeSubDomains
X-Frame-Options, Frame-Options クリックジャッキングから保護します。

値:

deny 
フレームでは、レンダーしません。
sameorigin 
オリジンとマッチしないときレンダーしません。
allow-from\
URL: URLからロードされたらフレームのレンダーを許可します。
X-Frame-Options: deny
X-XSS-Protection このヘッダは、最近のウェブブラウザに組み込まれている XSS フィルターを有効にします。たいていデフォルトで有効です。このヘッダの役割は、ユーザによって無効になっているときに、特別なウェブサイトのために、再度有効にします。 X-XSS-Protection: 1; mode=block
X-Content-Type-Options 設定できる値は、 nosniff です。Internet ExplorerやGoogle Chromeがコンテンツタイプの定義を無視して、レスポンスのMIME X-Content-Type-Options: nosniff
X-Content-Security-Policy, Content-Security-Policy, X-WebKit-OSP script sourceのロード先やeval等の実行を制御します。 X-WebKit-CSP: default-src 'self'

関連項目