Secure HTTP Header Settings
セキュアなHTTPヘッダー設定
説明
セキュアヘッダー設定:
- Content Security Policy:コンテンツの信頼できるソースを指定することで、クロスサイトスクリプティング(XSS)のリスクを軽減します。
- Cookie:不正アクセスからCookieデータを保護するために、HttpOnlyやSecureなどの属性を設定することでセキュリティを強化します。
- Cross-Origin Resource Sharing:悪意のあるアクセスを防ぐために、異なるドメイン間でリソースを共有する方法を制御します。
- HTTP Public Key Pinning:特定のサイトでどの公開鍵が有効であるかを指定することにより、中間者攻撃(man-in-the-middle)から保護します。
- Redirection:リダイレクトが安全であり、オープンリダイレクトの脆弱性を防ぐために信頼できる宛先にのみ誘導されることを保証します。
- Referrer Policy:あるサイトから別のサイトへ移動する際に渡されるリファラー情報の量を定義し、プライバシーを向上させます。
- Subresource Integrity:サードパーティのドメインから読み込まれたリソースが改ざんされていないことを、暗号学的ハッシュをチェックすることで検証します。
- X-Content-Type-Options:ブラウザーがコンテンツタイプをMIMEスニッフィングするのを防ぎ、コンテンツタイプに基づく攻撃のリスクを軽減します。
- X-Frame-Options:ページをフレーム内に埋め込めるかどうかを制御することで、クリックジャッキング攻撃を防ぎます。
- X-XSS-Protection:ブラウザーに組み込まれたXSSフィルタリングを有効にし、検出されたクロスサイトスクリプティング攻撃をブロックします。
- Permissions-Policy:ブラウザーで使用できる機能とAPIを制御し、信頼できないコンテンツの機能を制限することでセキュリティを強化します。
- Clear-Site-Data:サイトが特定のオリジンに保存されているデータ(Cookie、ローカルストレージ、キャッシュ)をクリアするようにブラウザーに要求できるようにし、データ漏えいやプライバシーに関する懸念の影響を軽減するのに役立ちます。
推奨事項
実装は安全です。推奨事項はありません。