strict-transport-securityとは？

Webサイトがブラウザーに対して、HTTPの代わりにHTTPSで通信するように指示する設定

content-security-policyとは?

クロスサイトスクリプティングやデータインジェクション等による攻撃を検知し影響を軽減する設定。データ窃取・サイト改ざん、マルウェア等が代表な攻撃。

X-Content-Type-Optionsとは?

MIME タイプのスニッフィングを抑止する設定

Referror-Policyとは?

HTTP ヘッダーで、リクエストに対してリファラー情報をどの程度含めるかを制御

X-Frame-Optionsとは?

ブラウザーがページ表示することを許可するかどうかの設定。 Webサイトはコンテンツが他のサイトに埋め込まれないよう保証し、クリックジャッキング攻撃を防ぐことに使用。

Permissions-Policyとは?

使用できるブラウザの機能を制御するセキュリティヘッダー

HTTPヘッダーセキュリティとは？【確認から対策方法まで】 -biz-sel.com

Q: HTTPヘッダーセキュリティとは何か？

WEBサイトは、HTTPヘッダーを使ってクライアントとサーバーが通信しています。 このHTTPヘッダーを悪用してサイトをハッキングしたり、改ざんしたりする攻撃が確認されています。 これらに対応したHTTPヘッダーセキュリティ対策を設定しておくと、>安心してあなたのサイトを運用することができます。

Q: content-security-policyとは?

クロスサイトスクリプティングやデータインジェクション等による攻撃を検知し影響を軽減する設定。 データ窃取・サイト改ざん、マルウェア等が代表な攻撃。

Q: Referror-Policyとは?

HTTP ヘッダーで、リクエストに対して リファラー情報をどの程度含めるかを制御

Warning: Attempt to read property "title" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 113

Warning: Attempt to read property "description" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 119

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

Warning: Constant __THEME_DIR__ already defined in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 104

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

Warning: Constant __THEME_DIR__ already defined in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 104

Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145

HTTPヘッダーセキュリティって？何？

お悩みさん

HTTPヘッダーセキュリティの対策方法が知りたい！

お調べさん

ゆめただ

HTTPヘッダーセキュリティの対策をしておいて損はありません。

対処方法も、難しくありません。あたなのサイトもしっかり対策しておきましょう。

本記事を読んでわかること

１．HTTPヘッダーセキュリティとは何か？

２．あたなのサイトのHTTPヘッダーセキュリティ状況

３．HTTPヘッダーセキュリティの具体的な対策方法

この記事を書いた人

ゆめ　ただ

グログ歴　５年目。
普通のビジネスマンとして働きながらFIREを目指す。
独学でゼロからブログを立ち上げる。
Dockerのローカル仮想環境を作りLinux環境も触るように。
４年目でSEO検定１級に合格し地道にスキルアップ。
次はWordPress以外のCMSに手を出そうか悩み中。

HTTPヘッダーセキュリティとは何か？

WEBサイトは、HTTPヘッダーを使ってクライアントとサーバーが通信しています。

このHTTPヘッダーを悪用してサイトをハッキングしたり、改ざんしたりする攻撃が確認されています。

これらに対応したHTTPヘッダーセキュリティ対策を設定しておくと、安心してあなたのサイトを運用することができます。

＼詳しい関連情報がこちらに掲載されています／

HTTP ヘッダ・インジェクションについて

独立行政法人情報処理推進機構IPAのサイトです。

https://www.ipa.go.jp/security/vuln/vuln_contents/hhi.html

あたなのサイトのHTTPヘッダーセキュリティ状況を確認しよう！

あなたのサイトのHTTPヘッダーセキュリティについて状況を確認してみましょう。

方法は次の2つがあります。

securityheaders.com（海外サイト）

HTTPヘッダーセキュリティの状況をカンタンに書くにすることができるサイトです。

あなたのサイトURLを入力して、Scanボタンをクリックするだけです。

＼ここからチェックしよう／

securityheaders.com

Scan your site now

https://securityheaders.com/

確認方法

SecurityHeadersにアクセス。
あなたのサイトURLを入力。
Scanをクリック。

結果のみかた

サイト全体のセキュリティレベルがアルファベットで段階的に表示されます。（A～F）
Report Summaryに結果が表示されます。対応していない項目は赤、対応している項目は緑で表示されます。

ラッコツールズ（国内サイト）

こちらもHTTPヘッダーセキュリティの状況をカンタンに書くにすることができるサイトです。

ラッコツールズは無料で多くのサービスが使える非常に有益なサイトです。

あなたのサイトURLを入力して、確認するボタンをクリックするだけです。

＼ここからチェックしよう／

ラッコツールズ

HTTPヘッダーセキュリティチェッカー

https://rakko.tools/tools/26/

確認方法

ラッコツールズ（HTTPヘッダーセキュリティチェカー）にアクセス。
あなたのサイトURLを入力。
確認するをクリック。

結果のみかた

対応していない項目は無効（赤）、対応している項目は有効（緑）で表示されます。

SecurityHeadersとラッコツールズの結果の違い

「SecurityHeaders」と「ラッコツールズ」の結果を比較しました。

「ラッコツールズ」は検査項目数が多いですが、「Strict-Transport-Security」に対応しているのに無効になってしまうようです。

「SecurityHeaders」は「Strict-Transport-Security」に対応していることを検出してくれました。

HTTPヘッダーセキュリティの具体的な対策方法

ゆめただ

「SecurityHeaders」の検査項目である、次の6つについて具体的な対策方法をまとめました。

対策項目

strict-transport-security
content-security-policy
X-Content-Type-Options
Referror-Policy
X-Frame-Options
Permissions-Policy

＼各項目の意味と対策方法を表にまとめました／

HTTPヘッダーセキュリティ項目	内容	対策
strict-transport-security	Webサイトがブラウザーに対して、 HTTPの代わりにHTTPSで通信するように指示する設定	htaccessファイルに定義
content-security-policy	クロスサイトスクリプティングやデータインジェクション等による攻撃を検知し影響を軽減する設定。データ窃取・サイト改ざん、マルウェア等が代表な攻撃。	htaccessファイルに定義
X-Content-Type-Options	MIME タイプのスニッフィングを抑止する設定	htaccessファイルに定義
Referror-Policy	HTTP ヘッダーで、リクエストに対してリファラー情報をどの程度含めるかを制御	htaccessファイルに定義
X-Frame-Options	ブラウザーがページ表示することを許可するかどうかの設定。 Webサイトはコンテンツが他のサイトに埋め込まれないよう保証し、クリックジャッキング攻撃を防ぐことに使用。	htaccessファイルに定義
Permissions-Policy	使用できるブラウザの機能を制御するセキュリティヘッダー	htaccessファイルに定義

HTTPヘッダーセキュリティ項目の意味と対策

ゆめただ

さっそく各項目の対応方法について見ていきましょう。

　注意

サーバーの「htaccessファイル」を直接編集する方法です。

内容を確認した上で、自己責任での対応をお願いします。

当サイトは一切の保証を致しかねますのでご了承ください。

strict-transport-security

次のコードをhtaccessファイルに追記します。

Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS

content-security-policy

次のコードをhtaccessファイルに追記します。

Header always set Content-Security-Policy "upgrade-insecure-requests"

X-Content-Type-Options

次のコードをhtaccessファイルに追記します。

Header always set X-Content-Type-Options "nosniff"

Referror-Policy

次のコードをhtaccessファイルに追記します。

Header always set Referrer-Policy: "no-referrer-when-downgrade"

X-Frame-Options

次のコードをhtaccessファイルに追記します。

Header always append X-Frame-Options SAMEORIGIN

Permissions-Policy

次のコードをhtaccessファイルに追記します。

Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"

６項目全設定

６項目まとめた全項目の設定です。次のコードをhtaccessファイルに追記します。

<ifmodule mod_headers.c>
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);" 
</ifmodule>

対策が完了したら、結果を確認しましょう！

ゆめただ

しっかりセキュリティ対策をして

あなたのサイトを運営しましょう！