「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>HTTPヘッダ]] * 目次 [#pe45a5b2] #contents *概要 [#u325813b] -昨今、セキュリティ強化のHTTPヘッダが実装されている。 -ブラウザ側は、これを見てよりセキュアになるよう挙動を変更する。~ (一部、metaタグでページのマークアップに直接ポリシーを設定できる)。 *詳細 [#v9408273] **主要なヘッダ [#uef92b8c] ***X-XSS-Protection [#bc5d1d31] [[クロスサイトスクリプティング(XSS)>XSS対策の実装方針]]に対する~ フィルタ機能(ページの読み込みを停止)を強制的に有効にする。 -現在のブラウザでは以下を設定することで、X-XSS-Protectionは大枠不要だが、 --強い [[Content-Security-Policy>#a5d9c303]] をサイトが実装し、 --インライン JavaScript の使用を無効 ('unsafe-inline')にする。 -[[Content-Security-Policy>#a5d9c303]]に対応していない古いブラウザでは防御になる。 ***X-Frame-Options / Frame-Options [#w3690238] -RFC 7034仕様の標準ヘッダ -内部にページを表示しないように指定 -[[クリック・ジャッキング>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?SC%EF%BC%9A%E8%84%85%E5%A8%81#d432cdf4]]攻撃を防ぐために使用する。 -また、[[セイムサイト(SameSite)、同一生成元(Same-Origin)>CORS (Cross-Origin Resource Sharing)#y3501755]]を許可できる。 ***X-Content-Type-Options [#u183e65c] -W3C 仕様の標準ヘッダ -Content-Typeの自動的判断(sniffing)を止め、合致しない動作を回避する。 **追加されたヘッダ [#r4cc4671] ***[[Content-Security-Policy]] [#a5d9c303] 特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤ ***Strict-Transport-Security ([[HSTS>SSL/TLS#z1b187da]]) [#c8dd0eb5] -W3C 仕様の標準ヘッダ -現在接続しているドメインへの次回以降のアクセスにおいて、HTTPSの使用を強制する。 ***Public-Key-Pins [#d3ec4fa6] -RFC 7469仕様の標準ヘッダ -Pre-loaded public key pinning~ 本物の証明書の公開鍵データのハッシュ値をブラウザにあらかじめ登録し、~ ブラウザがTLS接続する際に実際のサーバから送信されてくる証明書の~ 公開鍵データのハッシュ値と比較して、不正な証明書の利用を検知、防止する機能 -HTTP-based public key pinning (HPKP)~ サーバからHTTPヘッダでブラウザにPinning情報を通知し登録させる。 *参考 [#ba017dff] -セキュリティを強化する7つの便利なHTTPヘッダ~ https://devcentral.f5.com/s/articles/7http -大規模サービスのセキュリティ対策用HTTPヘッダーまとめ - Qiita~ https://qiita.com/sooogle/items/c066b0d69a81370653f7 **MDN > HTTP [#ne4a6f42] -X-XSS-Protection~ https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-XSS-Protection -X-Content-Type-Options~ https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Content-Type-Options -コンテンツセキュリティポリシー (CSP)~ https://developer.mozilla.org/ja/docs/Web/HTTP/CSP --Content-Security-Policy~ https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Content-Security-Policy -X-Frame-Options~ https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Options -Strict-Transport-Security~ https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security **[[Content-Security-Policy]] [#zff3f847] ---- Tags: [[:IT国際標準]], [[:通信技術]], [[:IIS]], [[:.NET開発]], [[:.NET Core]], [[:ASP.NET]], [[:ASP.NET MVC]] Tags: [[:セキュリティ]], [[:IT国際標準]], [[:通信技術]], [[:IIS]], [[:.NET開発]], [[:.NET Core]], [[:ASP.NET]], [[:ASP.NET MVC]]