| ヘッダー名 | 説明 | 設定例 | 設定説明 |
|---|---|---|---|
| X-Frame-Options |
Iframeを読み込が可能なドメインを設定する クリックジャッキングの対策でこのヘッダーを指定します |
X-Frame-Options: SAMEORIGIN |
DENY:同じドメインでもiframeを禁止 SAMEORIGIN:同じドメインではiframeを許可 ALLOW-FROM origin_uri:特定のドメインではiframeを許可 |
| X-XSS-Protection | XSSガード機能を有効、無効にする | X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block |
0:XSSフィルタを無効にする 1:XSSフィルタを有効にする |
| Strict-Transport-Security | ブラウザからの同じドメインのリクエストを強制的にHTTPSにさせる | Strict-Transport-Security: max-age=86400 |
max-age: 指定した時間設定を有効にします includeSubDomains: サブドメインにも設定を有効にします httpでのレスポンスヘッダーによるStrict-Transport-Securityの設定は無視されます。※http通信は改ざんの可能性があるためです。 httpsでの通信で証明書エラーや何らかの問題がない場合、Strict-Transport-Securityの指定があればブラウザはその指定に則ってhttpsでのアクセスを強制します。 |
| X-Content-Type-Options |
IEでファイルタイプの推測を実施しないように設定する htmlでないファイルをhtmlと認識してXSSが発生するのを防ぐことができます |
X-Content-Type-Options: nosniff | nosniff:推測によるファイルタイプ決定をしない |
| X-Download-Options | ダウンロードしたファイルを直接開かせないなどの設定ができます | X-Download-Options: noopen | noopen:ローカルに保存するしかできなくなります |
| Content-Security-Policy | 特定の信頼できる箇所からしかscriptやcssを取得しないようにします。 | Content-Security-Policy: default-src 'self' |
default-src 'self':同じドメインのリソースの読み込みを許可します default-src 'self' *.xxxx.com:同じドメインと特定のドメインのサブドメインからのリソースの読み込みを許可します |
| Set-Cookie | ブラウザにCookieを保存させるために使用します。 | Set-Cookie: name=value; secure; HttpOnly path=/; domain=xxx.xxxx.co.jp; samesite=Lax |
secure: HTTPS通信時にのみ送信するCookieを設定します。 HttpOnly: JavaScriptからアクセスできないCookieにします。 path: Cookieを送信するpathを指定します。 domain: 後方一致でCookieを送信したいdomainを設定します。 samesite: Cookieを送信する条件を設定できます。簡単に説明するとNone:無し,Lax:低、strict:高の設定ができます。 |
| Cache-Control | ブラウザのキャッシュを制御する際に使用します | Cache-Control: no-cache, no-store, must-revalidate |
no-cache: キャッシュサーバーは保存しない must-revalidate: キャッシュはするが、キャッシュしたファイルに最新がないか確認する |