HTTPSセキュリティ・ヘッダーとキャッシュ・ヘッダー

5.4 HTTPSセキュリティ・ヘッダーとキャッシュ・ヘッダー

サポートされているセキュリティ・ヘッダーとキャッシュ・ヘッダーを確認してください。

MAサーバーは、HTTPSエンベロープを受け入れて返します。このエンベロープには、サーバー、クライアントおよびプロキシのHTTPSコンテンツの処理方法を制御する一連のヘッダーが含まれています。HTTPSの詳細は、次を参照してください。

RFC 7034 - HTTPヘッダー・フィールドX-Frame-Options https://tools.ietf.org/html/rfc7034
RFC 7762 - コンテンツ・セキュリティ・ポリシーの初期割当https://tools.ietf.org/html/rfc7762
RFC 2616 - ハイパーテキスト転送プロトコル -- HTTP/1.1 https://tools.ietf.org/html/rfc2616

セキュリティ・ヘッダー

発行可能なセキュリティ・ヘッダーは次のとおりです。

コンテンツ・セキュリティ・ポリシー(CSP)

CSPはサーバー・レスポンスのヘッダーとして組み込まれ、クライアントがサーバーから送信されたコンテンツをどのように処理するかを定義します。

デフォルトのCSPヘッダー文は次のとおりです。

Content-Security-Policy: script-src 'self' 'unsafe-eval' 'unsafe-inline'

オプションは次のとおりです。

script-src:
unsafe-eval:
unsafe-inline:

X-Frame-Options

X-Frame-Optionsはサーバー・レスポンスでヘッダーとして含まれ、ユーザー・エージェントが<frame>、<iframe>、<object>内でコンテンツをレンダリングできるようにするかどうかをクライアントに通知します。Webサイトは、<frame>および<iframe>を使用してマッシュアップを作成したり、1つのサイトの一部を埋め込みます。ただし、そうすることで埋込みサイトがクリックジャック(ユーザー・インタフェースの偽装として分類される)攻撃にさらされます。このディレクティブは、コンテンツが同じサイト(起点)からのものでないかぎり、クライアントがコンテンツを埋込みとしてレンダリングすることを禁止します。

デフォルトのX-Frame-Options文は次のとおりです。

X-Frame-Options: SAMEORIGIN

オプションは、SAMEORIGINです。

X-XSS-Protection

X-XSS-Protectionは、サーバー・レスポンスのヘッダーとして組み込まれ、ユーザー・エージェントの埋込みXSS (クロスサイト・セキュリティ)保護を構成します。オプションは有効化、無効化、およびブロックとレポートとの組合せが可能です。

デフォルトのX-XSS-Protection文は次のとおりです。

X-XSS-Protection: 1; mode=block

オプションは次のとおりです。

1: ユーザー・エージェントの保護モードを有効にします。
2: ユーザー・エージェントの保護モードを無効にします。
mode=block: コンテンツ・スクリプトがユーザー入力として注入された場合、サーバーのレスポンスをブロックします。
mode-report=url: 潜在的なXSS攻撃を指定されたURLに報告します。ChromeとWebKitでのみサポートされます。

X-Content-Type-Options

デフォルトのX-Content-Type-Options文は次のとおりです。

  X-Content-Type-Options: nosniff

オプションはnosniffです。

キャッシュ・ヘッダー

サポートされるキャッシュ・ヘッダーは次のとおりです。

Cache-Control

デフォルトのCache-Control文は次のとおりです。

Cache-Control: no-cache, no-store, must-revalidate

Pragma

デフォルトのPragma文は次のとおりです。

Pragma: no-cache

Expires

デフォルトのExpires文は次のとおりです。

Expires: 0

HTTP Strict-Transport-Security

デフォルトのHTTP Strict-Transport-Security (HSTS)文は次のとおりです。

Strict-Transport-Security: max-age=expire-time; includeSubDomains

デフォルトの構成のmax-ageは、31536000です。また、includeSubDomainsでは、HSTSがリクエスト元ドメインとすべてのサブドメインに適用されることを指定します。デフォルトの構成は、次のオプションで制御します。

{ "config" : { "hstsEnabled": true, "hstsDetails": "max-age=31536000 ; includeSubDomains" }}

オプションは次のとおりです。

hstsEnableでは、レスポンスにHSTSヘッダーを含めるかどうかを制御します。

hstsDetailsでは、HSTSヘッダーの値を定義します(「RFC 6797 HTTP Strict Transport Security (HSTS)」を参照)。

親トピック: TLSおよびセキュア・ネットワーク・プロトコル