HTTP Header
HTTP Security Response Headers Cheat Sheet
Owaspのチートシート
Security
max-age
秒単位で、そのサイトに HTTPS だけで接続することをブラウザーが記憶する時間です。
Strict-Transport-Security を無効にする必要がある場合は、 HTTPS 通信時に max-age の値を 0 に設定することで Strict-Transport-Security ヘッダーが失効し、ブラウザーからの HTTP 接続が許されるようになります。
includeSubDomains
サブドメインも適用
X-XSS-Protection: 1; mode=block
1; mode=block
レンダリング自体を行わない。’
XSS フィルタリングを有効化します。攻撃を検知すると、ページをサニタイジングするよりも、ページのレンダリングを停止します。
非推奨となっている
SAMEORIGIN
ページは、ページ自体と同じオリジンのフレーム内でのみ表示されます
Content-Type headersで指定されたMIMEに必ず沿うように指定できます。これにより、HTTPレスポンス全体を検査(sniffing)を防ぐことができる
default-src self
APIのサブドメインが異なると停止した。
-------------------------------------
X-Forwarded-Forとは、HTTPヘッダフィールドの1つであり、ロードバランサなどの機器を経由して
Webサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードです。
クライアントの送信元IPアドレスの特定は、ロードバランサなどでクライアントの送信元IPアドレスが
変換された場合でも、HTTPヘッダに元のクライアントIPアドレスの情報を付加することで実現します。
Cookie ヘッダーを含んでいる場合、 Access-Control-Allow-Origin ヘッダーが "*" であったらリクエストは失敗