有効なセキュリティに関するHTTPヘッダ

提供: セキュリティ
2013年4月27日 (土) 11:33時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 == 概要 == このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク


読み方

概要

このページでは、有効なセキュリティに関連するHTTPヘッダを紹介します。実際のアプリケーションコードを変更せずに、Webサーバの設定で、ヘッダをセットできます。

セキュリティに関連するHTTPヘッダ一覧
フィールド名 説明
Strict-Transport-Security サーバへの接続にセキュア(HTTP over SSL/TLS)を強制します。cookieや外部リンクを通して、Webアプリケーションセッションの漏洩のバグのインパクトを小さくします。 Strict-Transport-Security: max-age=16070400; includeSubDomains
X-Frame-Options, Frame-Options クリックジャッキングから保護します。

値:

deny 
フレームでは、レンダーしません。
sameorigin 
オリジンとマッチしないときレンダーしません。
allow-from\
URL: URLからロードされたらフレームのレンダーを許可します。
 X-Frame-Options: deny
X-XSS-Protection X-XSS-Protection: 1; mode=block
X-Content-Type-Options X-Content-Type-Options: nosniff
X-Content-Security-Policy, X-WebKit-OSP X-WebKit-CSP: default-src 'self'

インストール

 

使い方

 

関連項目



スポンサーリンク

https://kaworu.jpn.org/security/index.php?title=有効なセキュリティに関するHTTPヘッダ&oldid=492」から取得