HTTPのセキュリティメモ
servestで最低限のHTTPのセキュリティを守りたいと思って調べているkeroxp.icon2019/10/10
主にヘッダーを書いたり消したりするのが正道のようだ
あんまり効果があるように思えないけど…
指定すべきHTTPセキュリティヘッダーTop7と、そのデプロイ方法
HTTPレスポンスヘッダによるセキュリティ対策 - Qiita
https://helmetjs.github.io/
memo
どれも絶対に必要だとは思えないkeroxp.icon2019/10/13
そもそもこういうセキュリティはサーバーじゃなくてブラウザの仕事だよなと
↑で記述されているX-系のHeaderはわりと非推奨になってたり、主要ブラウザが勝手にやってくれるようになるみたい
そう考えるとサーバー側がWebページのセキュリティに関して出来ることは少ないと思う
そもそもヘッダー送るだけで根本的なセキュリティ対策ができるわけがないし
HSTSもそのうちブラウザがデフォルトにするんじゃないのという気持ちがある
古いブラウザにはセキュリティ欠陥が残るのかもしれないが、それはサーバーのせいじゃなくてユーザのせい