サイトのセキュリティヘッダを設定する
RS2 Plus タブを開く ¶
GWS Web コンソールを開いて、操作対象のプロジェクトを選択してから、RS2 Plus タブを開きます。
対象のアカウントのサイトを開く ¶
契約一覧の画面から対象のアカウントを開いて、サイトタブを選択してください。
「設定」マークをクリック ¶
設定したいサイトの右にある歯車の「設定」マークをクリックするとモーダルウィンドウが開きます。
セキュリティタブの選択 ¶
モーダルウィンドウ左側のサイドバーから「セキュリティ」を選択してください。
セキュリティヘッダの設定 ¶
セキュリティヘッダを設定できます。
X-Frame-Options ¶
この設定は、付与しない、DENY、 SAMEORIGIN、 ALLOW-FROM から値を選択できます。
X-Frame-Options ヘッダは、ページを <frame> または <iframe> の内部に表示することを許可するかを示すことができます。
DENY を選択した場合、他の悪意あるページからこのヘッダを設定したページコンテンツを呼び出すことができません。
SAMEORIGIN では、呼び出し元と呼び出し先が同一オリジンの場合にのみ許可します。
詳しくはMozilla Developer Networkを参照してください。
Content-Security-Policy ¶
この設定は、付与しない、default-src 'self';img-src *、任意の値 から値を選択できます。
Content-Security-Policy ヘッダは、ページの挙動についてポリシーを定義するものです。このヘッダを正しく設定すると、XSS のためにインジェクションされたインラインのコードを無効化したり、実行可能なスクリプトの提供元のドメインを指定することで身元の分からないスクリプトの実行を無効にできます。
詳しくはMozilla Developer Networkを参照してください。
X-XSS-Protection ¶
この設定は、付与しない、無効(0)、有効(1; mode=block)から値を選択できます。
X-XSS-Protection ヘッダは、ブラウザの XSS フィルタの設定を指定できます。
Internet Explorer の一部のバージョンでは、 XSS フィルタに挙動に起因して XSS が生じる問題が報告されていることから、 mode=block がついた設定のみを利用できるようにしています。
有効にすることを推奨します。
X-Content-Type-Options ¶
この設定は、付与しない、有効(nosniff) から値を選択できます。
X-Content-Type-Options ヘッダは、ブラウザがコンテンツによってファイルタイプを判定する挙動を無効化します。
Internet Explorer 8 以降で有効です。
有効にすることを推奨します。
Strict-Transport-Security ¶
この設定は、有効(1 年)、有効(6 ヶ月)、有効(3 ヶ月)、有効(1 ヶ月)、有効(14 日間)、有効(7 日間)、有効(3 日間)、有効(1 日間)、テスト用(10 分間)、任意、無効 から値を選択できます。
HTTP Strict Transport Security (HSTS) は、ブラウザに対して HTTP の代わりに HTTPS を用いて通信を行うように伝達することができます。 この有効期間の間は HTTP でリクエストした時もサーバに問い合わせることなく、ブラウザが HTTPS を用いて通信するようになります。
HTTPS と HTTP が混在するサイトでこの設定を有効にすると無限にリダイレクトループが生じ、 HTTP で提供しているページが閲覧できなくなりますので注意が必要です。
有効にする場合には、6 ヶ月以上に設定することを推奨します。 前述のとおり、よくテストするか、サイトの全ページを HTTPS で提供するようにしてください。
詳しくはMozilla Developer Networkを参照してください。
Public-Key-Pins ¶
この設定は、 付与しない、有効 から値を選択できます。
HTTP Public Key Pinning(HTTP 公開鍵ピンニング拡張、HPKP)は、 偽造された証明書による中間者攻撃を防ぐため、特定の公開鍵と特定の Web サーバを紐付けるようにする設定です。
詳しくはMozilla Developer Networkを参照してください。
X-Permitted-Cross-Domain-Policies ¶
この設定は、付与しない、有効(master-only)から値を選択できます。
X-Permitted-Cross-Domain-Policies は、Flash が読み込む crossdomain.xml の読み込みについて読み込み元を許可するものです。
master-only を設定すると、/crossdomain.xml のみが許可されます。
X-Download-Options ¶
この設定は、付与しない、有効(noopen)から値を選択できます。
X-Download-Options は、ダウンロードしたファイルを、ブラウザが直接開けないようにするオプションです。
noopen を設定すると、ダウンロードダイアログ画面から「開く」を選択できなくなります。
確定ボタンを押すと、モーダルウィンドウが自動的に閉じます。
以上で設定は完了です。