5.4 HTTPSセキュリティ・ヘッダーとキャッシュ・ヘッダー
サポートされているセキュリティ・ヘッダーとキャッシュ・ヘッダーを確認してください。
MAサーバーは、HTTPSエンベロープを受け入れて返します。このエンベロープには、サーバー、クライアントおよびプロキシのHTTPSコンテンツの処理方法を制御する一連のヘッダーが含まれています。HTTPSの詳細は、次を参照してください。
- RFC 7034 - HTTPヘッダー・フィールドX-Frame-Options https://tools.ietf.org/html/rfc7034
- RFC 7762 - コンテンツ・セキュリティ・ポリシーの初期割当https://tools.ietf.org/html/rfc7762
- RFC 2616 - ハイパーテキスト転送プロトコル -- HTTP/1.1 https://tools.ietf.org/html/rfc2616
セキュリティ・ヘッダー
発行可能なセキュリティ・ヘッダーは次のとおりです。
- コンテンツ・セキュリティ・ポリシー(CSP)
-
CSPはサーバー・レスポンスのヘッダーとして組み込まれ、クライアントがサーバーから送信されたコンテンツをどのように処理するかを定義します。
デフォルトのCSPヘッダー文は次のとおりです。
Content-Security-Policy: script-src 'self' 'unsafe-eval' 'unsafe-inline'
オプションは次のとおりです。
-
script-src:
-
unsafe-eval:
-
unsafe-inline:
-
- X-Frame-Options
-
X-Frame-Optionsはサーバー・レスポンスでヘッダーとして含まれ、ユーザー・エージェントが
<frame>
、<iframe>
、<object>
内でコンテンツをレンダリングできるようにするかどうかをクライアントに通知します。Webサイトは、<frame>
および<iframe>
を使用してマッシュアップを作成したり、1つのサイトの一部を埋め込みます。ただし、そうすることで埋込みサイトがクリックジャック(ユーザー・インタフェースの偽装として分類される)攻撃にさらされます。このディレクティブは、コンテンツが同じサイト(起点)からのものでないかぎり、クライアントがコンテンツを埋込みとしてレンダリングすることを禁止します。デフォルトのX-Frame-Options文は次のとおりです。
X-Frame-Options: SAMEORIGIN
オプションは、
SAMEORIGIN
です。 - X-XSS-Protection
-
X-XSS-Protectionは、サーバー・レスポンスのヘッダーとして組み込まれ、ユーザー・エージェントの埋込みXSS (クロスサイト・セキュリティ)保護を構成します。オプションは有効化、無効化、およびブロックとレポートとの組合せが可能です。
デフォルトのX-XSS-Protection文は次のとおりです。
X-XSS-Protection: 1; mode=block
オプションは次のとおりです。
-
1
: ユーザー・エージェントの保護モードを有効にします。 -
2
: ユーザー・エージェントの保護モードを無効にします。 -
mode=block
: コンテンツ・スクリプトがユーザー入力として注入された場合、サーバーのレスポンスをブロックします。 -
mode-report=url
: 潜在的なXSS攻撃を指定されたURLに報告します。ChromeとWebKitでのみサポートされます。
-
- X-Content-Type-Options
-
デフォルトの
X-Content-Type-Options
文は次のとおりです。X-Content-Type-Options: nosniff
オプションは
nosniff
です。
キャッシュ・ヘッダー
サポートされるキャッシュ・ヘッダーは次のとおりです。
- Cache-Control
-
デフォルトの
Cache-Control
文は次のとおりです。Cache-Control: no-cache, no-store, must-revalidate
- Pragma
-
デフォルトの
Pragma
文は次のとおりです。Pragma: no-cache
- Expires
-
デフォルトの
Expires
文は次のとおりです。Expires: 0
- HTTP Strict-Transport-Security
-
デフォルトのHTTP Strict-Transport-Security (HSTS)文は次のとおりです。
Strict-Transport-Security: max-age=expire-time; includeSubDomains
デフォルトの構成のmax-ageは、31536000です。また、
includeSubDomains
では、HSTSがリクエスト元ドメインとすべてのサブドメインに適用されることを指定します。デフォルトの構成は、次のオプションで制御します。{ "config" : { "hstsEnabled": true, "hstsDetails": "max-age=31536000 ; includeSubDomains" }}
オプションは次のとおりです。
hstsEnable
では、レスポンスにHSTSヘッダーを含めるかどうかを制御します。hstsDetails
では、HSTSヘッダーの値を定義します(「RFC 6797 HTTP Strict Transport Security (HSTS)」を参照)。
親トピック: TLSおよびセキュア・ネットワーク・プロトコル