X-Content-Type-Options
メディアタイプ (MIME) を厳格に処理する。
X-Content-Type-Options: nosniff
参考:
X-Content-Type-Options: nosniff は IE 以外にも必要 | yohgaki’s blog
X-XSS-Protection
XSS フィルタリングを有効化し、攻撃を検知した場合にページのレンダリングを停止する。
X-XSS-Protection: 1; mode=block
参考:
X-Frame-Options
フレーム内でコンテンツの表示を禁止する。
X-Frame-Options: deny
フレーム内で同じ生成源のコンテンツのみを表示する。
X-Frame-Options: sameorigin
フレーム内で指定した生成源のコンテンツのみを表示する。
X-Frame-Options: allow-from https://example.com/
参考:
クリックジャッキング脆弱性をこの目で確かめて x-frame-options ヘッダを設定した – Qiita
クリックジャッキングって? | TECHSCORE BLOG
クリックジャッキングとは?その攻撃の概要と対策方法を解説 | サイバーセキュリティ.com
Web エンジニアだったら当然知っておきたい「 クリックジャッキング対策 」とは? | 株式会社ヌーラボ Nulab inc.
Accept
参考:
How does browser determine the Accept header? – Stack Overflow
Tips
参考: