Warning: Attempt to read property "title" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 113
Warning: Attempt to read property "description" on bool in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 119
Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145
Warning: Constant __THEME_DIR__ already defined in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 104
Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145
Warning: Constant __THEME_DIR__ already defined in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 104
Warning: Undefined variable $sc_Linkcard in /home/xs533301/biz-sel.com/public_html/wp-content/themes/affinger-jet-child/functions.php on line 145
HTTPヘッダーセキュリティって?何?
HTTPヘッダーセキュリティの対策方法が知りたい!
HTTPヘッダーセキュリティの対策をしておいて損はありません。
対処方法も、難しくありません。あたなのサイトもしっかり対策しておきましょう。
この記事を書いた人【ゆめただ】
HTTPヘッダーセキュリティとは何か?
WEBサイトは、HTTPヘッダーを使ってクライアントとサーバーが通信しています。
このHTTPヘッダーを悪用してサイトをハッキングしたり、改ざんしたりする攻撃が確認されています。
これらに対応したHTTPヘッダーセキュリティ対策を設定しておくと、安心してあなたのサイトを運用することができます。
\詳しい関連情報がこちらに掲載されています/
あたなのサイトのHTTPヘッダーセキュリティ状況を確認しよう!
あなたのサイトのHTTPヘッダーセキュリティについて状況を確認してみましょう。
方法は次の2つがあります。
securityheaders.com(海外サイト)
HTTPヘッダーセキュリティの状況をカンタンに書くにすることができるサイトです。
あなたのサイトURLを入力して、Scanボタンをクリックするだけです。
\ここからチェックしよう/
ラッコツールズ(国内サイト)
こちらもHTTPヘッダーセキュリティの状況をカンタンに書くにすることができるサイトです。
ラッコツールズは無料で多くのサービスが使える非常に有益なサイトです。
あなたのサイトURLを入力して、確認するボタンをクリックするだけです。
\ここからチェックしよう/
SecurityHeadersとラッコツールズの結果の違い
「SecurityHeaders」と「ラッコツールズ」の結果を比較しました。
「ラッコツールズ」は検査項目数が多いですが、「Strict-Transport-Security」に対応しているのに無効になってしまうようです。
「SecurityHeaders」は「Strict-Transport-Security」に対応していることを検出してくれました。
HTTPヘッダーセキュリティの具体的な対策方法
「SecurityHeaders」の検査項目である、次の6つについて具体的な対策方法をまとめました。
\各項目の意味と対策方法を表にまとめました/
HTTPヘッダー セキュリティ項目 | 内容 | 対策 |
---|---|---|
strict-transport-security | Webサイトがブラウザーに対して、 HTTPの代わりにHTTPSで通信するように指示する設定 | htaccessファイルに定義 |
content-security-policy | クロスサイトスクリプティングやデータインジェクション等による 攻撃を検知し影響を軽減する設定。 データ窃取・サイト改ざん、マルウェア等が代表な攻撃。 | htaccessファイルに定義 |
X-Content-Type-Options | MIME タイプのスニッフィングを抑止する設定 | htaccessファイルに定義 |
Referror-Policy | HTTP ヘッダーで、リクエストに対して リファラー情報を どの程度含めるかを制御 | htaccessファイルに定義 |
X-Frame-Options | ブラウザーがページ表示することを許可するかどうかの設定。 Webサイトはコンテンツが他のサイトに埋め込まれないよう保証し、 クリックジャッキング攻撃を防ぐことに使用。 | htaccessファイルに定義 |
Permissions-Policy | 使用できるブラウザの機能を制御するセキュリティヘッダー | htaccessファイルに定義 |
さっそく各項目の対応方法について見ていきましょう。
注意
サーバーの「htaccessファイル」を直接編集する方法です。
内容を確認した上で、自己責任での対応をお願いします。
当サイトは一切の保証を致しかねますのでご了承ください。
strict-transport-security
次のコードをhtaccessファイルに追記します。
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
content-security-policy
次のコードをhtaccessファイルに追記します。
Header always set Content-Security-Policy "upgrade-insecure-requests"
X-Content-Type-Options
次のコードをhtaccessファイルに追記します。
Header always set X-Content-Type-Options "nosniff"
Referror-Policy
次のコードをhtaccessファイルに追記します。
Header always set Referrer-Policy: "no-referrer-when-downgrade"
X-Frame-Options
次のコードをhtaccessファイルに追記します。
Header always append X-Frame-Options SAMEORIGIN
Permissions-Policy
次のコードをhtaccessファイルに追記します。
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
6項目全設定
6項目まとめた全項目の設定です。次のコードをhtaccessファイルに追記します。
<ifmodule mod_headers.c>
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options SAMEORIGIN
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
</ifmodule>
対策が完了したら、結果を確認しましょう!
しっかりセキュリティ対策をして
あなたのサイトを運営しましょう!