「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- 昨今、セキュリティ強化のHTTPヘッダが実装されている。
- ブラウザ側は、これを見てよりセキュアになるよう挙動を変更する。
(一部、metaタグでページのマークアップに直接ポリシーを設定できる)。
詳細 †
主要なヘッダ †
X-XSS-Protection †
クロスサイトスクリプティング(XSS)に対する
フィルタ機能(ページの読み込みを停止)を強制的に有効にする。
- 現在のブラウザでは以下を設定することで、X-XSS-Protectionは大枠不要だが、
X-Content-Type-Options †
Content-Typeの自動的判断(sniffing)を止め、合致しない動作を回避する。
セキュリティ強化に役立つヘッダ †
X-Frame-Options / Frame-Options †
内部にページを表示しないように指定
特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ
Public-Key-Pins †
- Pre-loaded public key pinning
本物の証明書の公開鍵データのハッシュ値をブラウザにあらかじめ登録し、
ブラウザがTLS接続する際に実際のサーバから送信されてくる証明書の
公開鍵データのハッシュ値と比較して、不正な証明書の利用を検知、防止する機能
- HTTP-based public key pinning (HPKP)
サーバからHTTPヘッダでブラウザにPinning情報を通知し登録させる。
参考 †
MDN > HTTP †
Tags: :IT国際標準, :通信技術, :IIS, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET MVC