「Strict-Transport-Security」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> Webサイトにアクセスをする場合に、セキュアコネクション(HTTPS)を利用するように、 [[HTTPレスポ...」) |
|||
| 行28: | 行28: | ||
Strict-Transport-Security: max-age=500 | Strict-Transport-Security: max-age=500 | ||
| + | |||
| + | === Apache HTTP Server での設定 === | ||
| + | |||
| + | <syntaxhighlight lang="apache"> | ||
| + | # 80 へのアクセスをHTTPSにリダイレクトする例 | ||
| + | <VirtualHost *:80> | ||
| + | ServerAlias * | ||
| + | RewriteEngine On | ||
| + | RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301] | ||
| + | </VirtualHost> | ||
| + | |||
| + | # ヘッダの設定 | ||
| + | Header set Strict-Transport-Security "max-age=16070400; includeSubDomains" | ||
| + | </syntaxhighlight> | ||
== サポートブラウザ == | == サポートブラウザ == | ||
2013年5月1日 (水) 19:31時点における版
Webサイトにアクセスをする場合に、セキュアコネクション(HTTPS)を利用するように、 HTTPレスポンスヘッダーのフィールドに Strict-Transport-Security (STS)を指定します。
読み方
- Strict-Transport-Security
- すとりくと とらんすぽーと せきゅりてぃ
概要
Strict-Transport-Security は、HTTPS (Transport Layer Security) を強制するためのHTTPヘッダーです。 HTTP でアクセスしたときに、このヘッダーが送信されても、ブラウザは、無視します。
HTTP Strict Transport Security や HTST とも呼ばれます。
書式
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
- expireTime
- ブラウザが そのサイトに対してHTTPSでのみアクセスすることを記憶する秒数を指定します。
- includeSubdomains
- includeSubdomains を指定した場合、サブドメインに対しても、適用されます。
使い方
HTTPヘッダーの例
Strict-Transport-Security: max-age=500
Apache HTTP Server での設定
# 80 へのアクセスをHTTPSにリダイレクトする例 <VirtualHost *:80> ServerAlias * RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301] </VirtualHost> # ヘッダの設定 Header set Strict-Transport-Security "max-age=16070400; includeSubDomains"
サポートブラウザ
| ブラウザ | バージョン |
|---|---|
| Chrome | 4.0.211.0 |
| Firefox | 4.0 |
| Internet Explorer | - |
| Opera | 12 |
| Safari | - |