セキュリティ強化のHTTPヘッダ
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>HTTPヘッダ]]
* 目次 [#pe45a5b2]
#contents
*概要 [#u325813b]
-昨今、セキュリティ強化のHTTPヘッダが実装されている。
-ブラウザ側は、これを見てよりセキュアになるよう挙動を変更...
(一部、metaタグでページのマークアップに直接ポリシーを設...
*詳細 [#v9408273]
**主要なヘッダ [#uef92b8c]
***X-XSS-Protection [#bc5d1d31]
[[クロスサイトスクリプティング(XSS)>XSS対策の実装方針]]...
フィルタ機能(ページの読み込みを停止)を強制的に有効にす...
-現在のブラウザでは以下を設定することで、X-XSS-Protection...
--強い [[Content-Security-Policy>#a5d9c303]] をサイトが実...
--インライン JavaScript の使用を無効 ('unsafe-inline')に...
-[[Content-Security-Policy>#a5d9c303]]に対応していない古...
***X-Frame-Options / Frame-Options [#w3690238]
-RFC 7034仕様の標準ヘッダ
-内部にページを表示しないように指定
-[[クリック・ジャッキング>https://dotnetdevelopmentinfras...
-また、[[セイムサイト(SameSite)、同一生成元(Same-Origi...
***X-Content-Type-Options [#u183e65c]
-W3C 仕様の標準ヘッダ
-Content-Typeの自動的判断(sniffing)を止め、合致しない動...
**追加されたヘッダ [#r4cc4671]
***[[Content-Security-Policy]] [#a5d9c303]
特定の種類の攻撃を検知し、影響を軽減するために追加できる...
***Strict-Transport-Security ([[HSTS>SSL/TLS#z1b187da]]) ...
-W3C 仕様の標準ヘッダ
-現在接続しているドメインへの次回以降のアクセスにおいて、...
***Public-Key-Pins [#d3ec4fa6]
-RFC 7469仕様の標準ヘッダ
-Pre-loaded public key pinning~
本物の証明書の公開鍵データのハッシュ値をブラウザにあらか...
ブラウザがTLS接続する際に実際のサーバから送信されてくる証...
公開鍵データのハッシュ値と比較して、不正な証明書の利用を...
-HTTP-based public key pinning (HPKP)~
サーバからHTTPヘッダでブラウザにPinning情報を通知し登録さ...
*参考 [#ba017dff]
-セキュリティを強化する7つの便利なHTTPヘッダ~
https://devcentral.f5.com/s/articles/7http
-大規模サービスのセキュリティ対策用HTTPヘッダーまとめ - Q...
https://qiita.com/sooogle/items/c066b0d69a81370653f7
**MDN > HTTP [#ne4a6f42]
-X-XSS-Protection~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-...
-X-Content-Type-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-...
-コンテンツセキュリティポリシー (CSP)~
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
--Content-Security-Policy~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Co...
-X-Frame-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Op...
-Strict-Transport-Security~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/St...
**[[Content-Security-Policy]] [#zff3f847]
----
Tags: [[:セキュリティ]], [[:IT国際標準]], [[:通信技術]], ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>HTTPヘッダ]]
* 目次 [#pe45a5b2]
#contents
*概要 [#u325813b]
-昨今、セキュリティ強化のHTTPヘッダが実装されている。
-ブラウザ側は、これを見てよりセキュアになるよう挙動を変更...
(一部、metaタグでページのマークアップに直接ポリシーを設...
*詳細 [#v9408273]
**主要なヘッダ [#uef92b8c]
***X-XSS-Protection [#bc5d1d31]
[[クロスサイトスクリプティング(XSS)>XSS対策の実装方針]]...
フィルタ機能(ページの読み込みを停止)を強制的に有効にす...
-現在のブラウザでは以下を設定することで、X-XSS-Protection...
--強い [[Content-Security-Policy>#a5d9c303]] をサイトが実...
--インライン JavaScript の使用を無効 ('unsafe-inline')に...
-[[Content-Security-Policy>#a5d9c303]]に対応していない古...
***X-Frame-Options / Frame-Options [#w3690238]
-RFC 7034仕様の標準ヘッダ
-内部にページを表示しないように指定
-[[クリック・ジャッキング>https://dotnetdevelopmentinfras...
-また、[[セイムサイト(SameSite)、同一生成元(Same-Origi...
***X-Content-Type-Options [#u183e65c]
-W3C 仕様の標準ヘッダ
-Content-Typeの自動的判断(sniffing)を止め、合致しない動...
**追加されたヘッダ [#r4cc4671]
***[[Content-Security-Policy]] [#a5d9c303]
特定の種類の攻撃を検知し、影響を軽減するために追加できる...
***Strict-Transport-Security ([[HSTS>SSL/TLS#z1b187da]]) ...
-W3C 仕様の標準ヘッダ
-現在接続しているドメインへの次回以降のアクセスにおいて、...
***Public-Key-Pins [#d3ec4fa6]
-RFC 7469仕様の標準ヘッダ
-Pre-loaded public key pinning~
本物の証明書の公開鍵データのハッシュ値をブラウザにあらか...
ブラウザがTLS接続する際に実際のサーバから送信されてくる証...
公開鍵データのハッシュ値と比較して、不正な証明書の利用を...
-HTTP-based public key pinning (HPKP)~
サーバからHTTPヘッダでブラウザにPinning情報を通知し登録さ...
*参考 [#ba017dff]
-セキュリティを強化する7つの便利なHTTPヘッダ~
https://devcentral.f5.com/s/articles/7http
-大規模サービスのセキュリティ対策用HTTPヘッダーまとめ - Q...
https://qiita.com/sooogle/items/c066b0d69a81370653f7
**MDN > HTTP [#ne4a6f42]
-X-XSS-Protection~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-...
-X-Content-Type-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-...
-コンテンツセキュリティポリシー (CSP)~
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
--Content-Security-Policy~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Co...
-X-Frame-Options~
https://developer.mozilla.org/ja/docs/Web/HTTP/X-Frame-Op...
-Strict-Transport-Security~
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/St...
**[[Content-Security-Policy]] [#zff3f847]
----
Tags: [[:セキュリティ]], [[:IT国際標準]], [[:通信技術]], ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
