- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>HTTPヘッダ]]
* 目次 [#pe45a5b2]
#contents
*概要 [#u325813b]
-昨今、セキュリティ強化のHTTPヘッダが実装されている。
-ブラウザ側は、これを見てよりセキュアになるよう挙動を変更する。~
(一部、metaタグでページのマークアップに直接ポリシーを設定できる)。
*詳細 [#v9408273]
**主要なヘッダ [#uef92b8c]
***X-XSS-Protection [#bc5d1d31]
クロスサイトスクリプティング(XSS)に対する~
フィルタ機能(ページの読み込みを停止)を強制的に有効にする。
-現在のブラウザでは以下を設定することで、X-XSS-Protectionは大枠不要だが、
--強い [[Content-Security-Policy>#a5d9c303]] をサイトが実装し、
--インライン JavaScript の使用を無効 ('unsafe-inline')にする。
-[[Content-Security-Policy>#a5d9c303]]に対応していない古いブラウザでは防御になる。
***X-Content-Type-Options [#u183e65c]
Content-Typeの自動的判断(sniffing)を止め、合致しない動作を回避する。
**セキュリティ強化に役立つヘッダ [#r4cc4671]
***X-Frame-Options / Frame-Options [#w3690238]
内部にページを表示しないように指定
-RFC 7034仕様の標準ヘッダ
-内部にページを表示しないように指定
***Strict-Transport-Security [#c8dd0eb5]
-W3C 仕様の標準ヘッダ
-現在接続しているドメインへの次回以降のアクセスにおいて、HTTPSの使用を強制する。
***[[Content-Security-Policy]] [#a5d9c303]
特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ
***Public-Key-Pins [#d3ec4fa6]
-Pre-loaded public key pinning~
本物の証明書の公開鍵データのハッシュ値をブラウザにあらかじめ登録し、~
ブラウザがTLS接続する際に実際のサーバから送信されてくる証明書の~
公開鍵データのハッシュ値と比較して、不正な証明書の利用を検知、防止する機能
-HTTP-based public key pinning (HPKP)~
サーバからHTTPヘッダでブラウザにPinning情報を通知し登録させる。
*参考 [#ba017dff]
-セキュリティを強化する7つの便利なHTTPヘッダ~
https://devcentral.f5.com/s/articles/7http
**MDN > HTTP [#ne4a6f42]
-X-XSS-Protection~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection
-X-Content-Type-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Content-Type-Options
-コンテンツセキュリティポリシー (CSP)~
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
--Content-Security-Policy~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy
--Strict-Transport-Security~
-X-Frame-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options
-Strict-Transport-Security~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security
**[[Content-Security-Policy]] [#zff3f847]
----
Tags: [[:IT国際標準]], [[:通信技術]], [[:IIS]], [[:.NET開発]], [[:.NET Core]], [[:ASP.NET]], [[:ASP.NET MVC]]