HTTP セキュリティヘッダ
HTTP セキュリティヘッダ とは何ですか?
HTTP セキュリティヘッダHTTPS 強制・フレーム制限・コンテンツポリシー・リファラ制御などの防御動作をブラウザに指示するレスポンスヘッダ群。
HTTP セキュリティヘッダはブラウザ組み込みの防御機能を活用して Web アプリを強化する、低コスト・高効果の手段です。中心となるのは Strict-Transport-Security(HSTS)・Content-Security-Policy(CSP)・X-Content-Type-Options: nosniff・X-Frame-Options または frame-ancestors・Referrer-Policy・Permissions-Policy・Cross-Origin-Opener-Policy・Cross-Origin-Resource-Policy です。それぞれプロトコルダウングレード・MIME スニッフィング・クリックジャッキング・リファラ漏えい・ブラウザ機能の濫用・クロスオリジン分離不足といった攻撃に対応します。エラーページや API を含むあらゆる応答で送出し、securityheaders.com や Mozilla Observatory で検証して、設定のベースラインに組み込むべきです。
● 例
- 01
「Strict-Transport-Security: max-age=63072000; includeSubDomains; preload」で HTTPS のみのアクセスを強制する。
- 02
管理用内部エンドポイントで「Referrer-Policy: no-referrer」を設定し、URL の外部漏えいを防ぐ。
● よくある質問
HTTP セキュリティヘッダ とは何ですか?
HTTPS 強制・フレーム制限・コンテンツポリシー・リファラ制御などの防御動作をブラウザに指示するレスポンスヘッダ群。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
HTTP セキュリティヘッダ とはどういう意味ですか?
HTTPS 強制・フレーム制限・コンテンツポリシー・リファラ制御などの防御動作をブラウザに指示するレスポンスヘッダ群。
HTTP セキュリティヘッダ からどのように防御しますか?
HTTP セキュリティヘッダ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
HTTP セキュリティヘッダ の別名は何ですか?
一般的な別名: セキュリティレスポンスヘッダ。