HTTPのセキュリティメモ
servestで最低限のHTTPのセキュリティを守りたいと思って調べているkeroxp.icon2019/10/10 主にヘッダーを書いたり消したりするのが正道のようだ
あんまり効果があるように思えないけど…
memo
どれも絶対に必要だとは思えないkeroxp.icon2019/10/13
そもそもこういうセキュリティはサーバーじゃなくてブラウザの仕事だよなと
↑で記述されているX-系のHeaderはわりと非推奨になってたり、主要ブラウザが勝手にやってくれるようになるみたい
そう考えるとサーバー側がWebページのセキュリティに関して出来ることは少ないと思う
そもそもヘッダー送るだけで根本的なセキュリティ対策ができるわけがないし
HSTSもそのうちブラウザがデフォルトにするんじゃないのという気持ちがある 古いブラウザにはセキュリティ欠陥が残るのかもしれないが、それはサーバーのせいじゃなくてユーザのせい