セキュリティ強化のHTTPヘッダのバックアップ差分(No.6)

バックアップ一覧
現在との差分を表示
ソースを表示
バックアップを表示
セキュリティ強化のHTTPヘッダへ行く。
- 1 (2019-05-16 (木) 16:13:49)
- 2 (2019-05-16 (木) 17:55:54)
- 3 (2019-05-16 (木) 20:29:02)
- 4 (2019-05-17 (金) 09:43:48)
- 5 (2019-05-18 (土) 16:04:22)
- 6 (2020-10-04 (日) 18:58:45)

追加された行はこの色です。
削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>HTTPヘッダ]]

* 目次 [#pe45a5b2]
#contents

*概要 [#u325813b]
-昨今、セキュリティ強化のHTTPヘッダが実装されている。

-ブラウザ側は、これを見てよりセキュアになるよう挙動を変更する。~
（一部、metaタグでページのマークアップに直接ポリシーを設定できる）。

*詳細 [#v9408273]

**主要なヘッダ [#uef92b8c]

***X-XSS-Protection [#bc5d1d31]
クロスサイトスクリプティング（XSS）に対する~
[[クロスサイトスクリプティング（XSS）>XSS対策の実装方針]]に対する~
フィルタ機能（ページの読み込みを停止）を強制的に有効にする。

-現在のブラウザでは以下を設定することで、X-XSS-Protectionは大枠不要だが、
--強い [[Content-Security-Policy>#a5d9c303]] をサイトが実装し、
--インライン JavaScript の使用を無効 ('unsafe-inline')にする。

-[[Content-Security-Policy>#a5d9c303]]に対応していない古いブラウザでは防御になる。

***X-Frame-Options / Frame-Options [#w3690238]
-RFC 7034仕様の標準ヘッダ
-内部にページを表示しないように指定
-[[クリック・ジャッキング>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?SC%EF%BC%9A%E8%84%85%E5%A8%81#d432cdf4]]攻撃を防ぐために使用する。
-また、[[セイムサイト（SameSite）、同一生成元（Same-Origin）>CORS (Cross-Origin Resource Sharing)#y3501755]]を許可できる。

***X-Content-Type-Options [#u183e65c]
-W3C 仕様の標準ヘッダ
-Content-Typeの自動的判断（sniffing）を止め、合致しない動作を回避する。

**追加されたヘッダ [#r4cc4671]

***Strict-Transport-Security [#c8dd0eb5]
***[[Content-Security-Policy]] [#a5d9c303]
特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ

***Strict-Transport-Security ([[HSTS>SSL/TLS#z1b187da]]) [#c8dd0eb5]
-W3C 仕様の標準ヘッダ
-現在接続しているドメインへの次回以降のアクセスにおいて、HTTPSの使用を強制する。

***[[Content-Security-Policy]] [#a5d9c303]
特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ

***Public-Key-Pins [#d3ec4fa6]
-RFC 7469仕様の標準ヘッダ

-Pre-loaded public key pinning~
本物の証明書の公開鍵データのハッシュ値をブラウザにあらかじめ登録し、~
ブラウザがTLS接続する際に実際のサーバから送信されてくる証明書の~
公開鍵データのハッシュ値と比較して、不正な証明書の利用を検知、防止する機能

-HTTP-based public key pinning (HPKP)~
サーバからHTTPヘッダでブラウザにPinning情報を通知し登録させる。

*参考 [#ba017dff]
-セキュリティを強化する7つの便利なHTTPヘッダ~
https://devcentral.f5.com/s/articles/7http

-大規模サービスのセキュリティ対策用HTTPヘッダーまとめ - Qiita~
https://qiita.com/sooogle/items/c066b0d69a81370653f7

**MDN > HTTP [#ne4a6f42]
-X-XSS-Protection~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection

-X-Content-Type-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Content-Type-Options

-コンテンツセキュリティポリシー (CSP)~
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
--Content-Security-Policy~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy

-X-Frame-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options
-Strict-Transport-Security~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security

**[[Content-Security-Policy]] [#zff3f847]

----
Tags: [[:IT国際標準]], [[:通信技術]], [[:IIS]], [[:.NET開発]], [[:.NET Core]],  [[:ASP.NET]], [[:ASP.NET MVC]]

セキュリティ強化のHTTPヘッダ のバックアップ差分(No.6)

セキュリティ強化のHTTPヘッダのバックアップ差分(No.6)