HTTPヘッダ のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• HTTPヘッダ へ行く。
  • 1 (2019-05-16 (木) 16:13:12)
  • 2 (2019-05-16 (木) 17:50:37)
  • 3 (2019-05-17 (金) 09:23:10)
  • 4 (2019-08-13 (火) 17:40:29)
  • 5 (2020-04-08 (水) 15:50:55)
  • 6 (2020-04-09 (木) 07:49:28)
  • 7 (2020-06-30 (火) 10:41:54)
  • 8 (2020-08-21 (金) 08:23:43)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

HTTPヘッダには、いろいろある。

詳細 †

コンテキストによる分類 †

一般ヘッダ †

リクエストとレスポンスの両方に適用される、
本文で転送されるデータとの関係はないヘッダ。

リクエスト・ヘッダ †

読み込むリソースやクライアント自身
に関する詳細な情報を持つヘッダ。

レスポンス・ヘッダ †

• レスポンスに関する追加情報 (場所など) や
• サーバ自身に関する追加情報 (名前やバージョンなど) を

持つヘッダ。

エンティティ・ヘッダ †

コンテンツの長さや MIME タイプなど、
エンティティの本体に関する詳細情報を持つヘッダ。

プロキシの扱いによる分類 †

エンドツーエンド・ヘッダ †

• メッセージの最終的な宛先に伝送するヘッダ
• 中間のプロキシはヘッダを
  • 変更せずに再伝送する。
  • キャッシュに保存する。

ホップバイホップ・ヘッダ †

トランスポート層の接続にのみ意味を持つヘッダ。

• Connection
• Keep-Alive
• Proxy-Authenticate
• Proxy-Authorization
• TE
• Trailer
• Transfer-Encoding, Upgrade

用途による分類 †

主なヘッダには★を付与

認証 †

• 認証方法
  • WWW-Authenticate
  • Proxy-Authenticate

• 認証情報
  • Authorization ★
  • Proxy-Authorization

Cache †

• Age
• Cache-Control
• Clear-Site-Data
• Expires
• Pragma
• Warning

※ 設定例

Cookie †

• Cookie ★
  Set-Cookie ヘッダでサーバから送信されて保存している HTTP Cookie。

• Set-Cookie ★
  サーバからユーザーエージェントにクッキーを送信。

• Expires=<date>
  クッキーの有効期限

• Max-Age=<number>
  クッキーの期限までの秒数

• Domain=<domain-value>
  クッキーの送信先をこれらのホストに指定

• Path=<path-value>
  クッキーの送信先をこれらのURLパスに指定

• Secure
  HTTPS使用時のみサーバに送信。

• HttpOnly?
  JavaScriptからアクセスできず、XSS攻撃を軽減

• SameSite
  クロスサイトのリクエストで
  Cookieの「送る / 送らない」を制御する。

• SameSite?=None
  ブラウザの既定値（参考:SameSite属性の件）

• SameSite?=Lax
  Top Level Navigation（アドレスバーのURL変更が伴う遷移）
  以外の（≒POST、SRC属性、XHR、FRAMEでの）
  クロスサイトのリクエストで一切 Cookie を送らなくなる。

• SameSite?=Strict
  全てのクロスサイトのリクエストで一切 Cookie を送らなくなる。

Security †

• Cross-Origin-Resource-Policy
• Content-Security-Policy (CSP)
• Content-Security-Policy-Report-Only
• Expect-CT
• Feature-Policy
• Public-Key-Pins (HPKP)
• Public-Key-Pins-Report-Only
• Strict-Transport-Security (HSTS)
• Upgrade-Insecure-Requests
• X-Content-Type-Options
• X-Download-Options
• X-Frame-Options (XFO)
• X-Powered-By
• X-XSS-Protection

CORS †

• Origin
• Timing-Allow-Origin
• Access-Control-Allow-Origin
• Access-Control-Allow-Credentials
• Access-Control-Allow-Headers
• Access-Control-Allow-Methods
• Access-Control-Expose-Headers
• Access-Control-Max-Age
• Access-Control-Request-Headers
• Access-Control-Request-Method
• X-Permitted-Cross-Domain-Policies

本文情報 †

• Content-Length

• Content-Type ★
  リソースのメディアタイプを示します。

• Content-Encoding
• Content-Language
• Content-Location

リクエストコンテキスト †

• From
• Host

• Referer ★
  リンク元ページのアドレス。

• Referrer-Policy

• User-Agent ★
  リクエストを行うユーザーエージェントソフトウェアのアプリケーション情報
  （タイプ、オペレーティングシステム、ベンダー、バージョン）

レスポンスコンテキスト †

• Allow

• Server ★
  WWWサーバが使用するソフトウェアの情報

接続制御 †

ホップバイホップ・ヘッダ

• Connection
• Keep-Alive

Proxy †

• Forwarded

• X-Forwarded-For ★
  プロキシ経由時の接続元 IP アドレス

• X-Forwarded-Host
• X-Forwarded-Proto
• Via

その他 †

参考 †

• HTTP ヘッダー - HTTP | MDN
  https://developer.mozilla.org/ja/docs/Web/HTTP/Headers

セキュリティ強化のHTTPヘッダ †

CORS (Cross-Origin Resource Sharing) †

SameSite属性の件 †

---

Tags: :IT国際標準, :通信技術, :IIS, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET MVC

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.029 sec.