X-Content-Type-Options

メディアタイプ (MIME) を厳格に処理する。

X-Content-Type-Options: nosniff

参考:

X-Content-Type-Options: nosniff は IE 以外にも必要 | yohgaki’s blog

X-Content-Type-Options | MDN

X-XSS-Protection

XSS フィルタリングを有効化し、攻撃を検知した場合にページのレンダリングを停止する。

X-XSS-Protection: 1; mode=block

参考:

X-XSS-Protection | MDN

X-Frame-Options

フレーム内でコンテンツの表示を禁止する。

X-Frame-Options: deny

フレーム内で同じ生成源のコンテンツのみを表示する。

X-Frame-Options: sameorigin

フレーム内で指定した生成源のコンテンツのみを表示する。

X-Frame-Options: allow-from https://example.com/

参考:

X-Frame-Options | MDN

クリックジャッキング脆弱性をこの目で確かめて x-frame-options ヘッダを設定した – Qiita

クリックジャッキングって? | TECHSCORE BLOG

クリックジャッキングとは?その攻撃の概要と対策方法を解説 | サイバーセキュリティ.com

Web エンジニアだったら当然知っておきたい「 クリックジャッキング対策 」とは? | 株式会社ヌーラボ Nulab inc.

Accept

参考:

Accept | MDN

How does browser determine the Accept header? – Stack Overflow

Tips

参考:

大規模サービスのセキュリティ対策用 HTTP ヘッダーまとめ – Qiita

Web サーバで指定すべきヘッダ – Qiita

タグ:

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です