HTTP Header
#HTTP
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers
Security
Strict-Transport-Security
max-age
秒単位で、そのサイトに HTTPS だけで接続することをブラウザーが記憶する時間です。
Strict-Transport-Security を無効にする必要がある場合は、 HTTPS 通信時に max-age の値を 0 に設定することで Strict-Transport-Security ヘッダーが失効し、ブラウザーからの HTTP 接続が許されるようになります。
includeSubDomains
サブドメインも適用
X-XSS-Protection
X-XSS-Protection: 1; mode=block
1; mode=block
レンダリング自体を行わない。’
XSS フィルタリングを有効化します。攻撃を検知すると、ページをサニタイジングするよりも、ページのレンダリングを停止します。
X-Frame-Options
SAMEORIGIN
ページは、ページ自体と同じオリジンのフレーム内でのみ表示されます
X-Content-Type-Options
https://www.templarbit.com/blog/jp/2018/07/24/top-http-security-headers-and-how-to-deploy-them/
Content-Type headersで指定されたMIMEに必ず沿うように指定できます。これにより、HTTPレスポンス全体を検査(sniffing)を防ぐことができる
Content-Security-Policy
default-src self
APIのサブドメインが異なると停止した。
Feature Policy
-------------------------------------
XFF( X-Forwarded-For )とは
X-Forwarded-Forとは、HTTPヘッダフィールドの1つであり、ロードバランサなどの機器を経由して
Webサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードです。
クライアントの送信元IPアドレスの特定は、ロードバランサなどでクライアントの送信元IPアドレスが
変換された場合でも、HTTPヘッダに元のクライアントIPアドレスの情報を付加することで実現します。
https://developer.mozilla.org/ja/docs/Web/HTTP/CORS
Cookie ヘッダーを含んでいる場合、 Access-Control-Allow-Origin ヘッダーが "*" であったらリクエストは失敗