マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • 昨今、セキュリティ強化のHTTPヘッダが実装されている。
  • ブラウザ側は、これを見てよりセキュアになるよう挙動を変更する。
    (一部、metaタグでページのマークアップに直接ポリシーを設定できる)。

詳細

主要なヘッダ

X-XSS-Protection

クロスサイトスクリプティング(XSS)に対する
フィルタ機能(ページの読み込みを停止)を強制的に有効にする。

  • 現在のブラウザでは以下を設定することで、X-XSS-Protectionは大枠不要だが、

X-Frame-Options / Frame-Options

  • RFC 7034仕様の標準ヘッダ
  • 内部にページを表示しないように指定

X-Content-Type-Options

  • W3C 仕様の標準ヘッダ
  • Content-Typeの自動的判断(sniffing)を止め、合致しない動作を回避する。

追加されたヘッダ

Strict-Transport-Security

  • W3C 仕様の標準ヘッダ
  • 現在接続しているドメインへの次回以降のアクセスにおいて、HTTPSの使用を強制する。

Content-Security-Policy

特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ

Public-Key-Pins

  • RFC 7469仕様の標準ヘッダ
  • Pre-loaded public key pinning
    本物の証明書の公開鍵データのハッシュ値をブラウザにあらかじめ登録し、
    ブラウザがTLS接続する際に実際のサーバから送信されてくる証明書の
    公開鍵データのハッシュ値と比較して、不正な証明書の利用を検知、防止する機能
  • HTTP-based public key pinning (HPKP)
    サーバからHTTPヘッダでブラウザにPinning情報を通知し登録させる。

参考

MDN > HTTP

Content-Security-Policy


Tags: :IT国際標準, :通信技術, :IIS, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET MVC


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-05-18 (土) 16:04:22 (157d)