サポートされるエンドポイント設定

Strict-Transport-Security

Strict Transport Securityは、プロトコルダウングレード攻撃とクッキーのハイジャックからウェブサイトを保護するために役立つウェブセキュリティポリシーです。このポリシーにより、ウェブサーバは非セキュアなHTTPプロトコルを一切使用することなく、セキュアなHTTPS接続のみを使用してやり取りすることが可能になります。

X-Frame-Options

X-Frame-Optionsヘッダーは、クリックジャッキング攻撃に対するウェブアプリケーションの保護を強化します。このヘッダーは、サイト上のiframeを無効化し、他者によるコンテンツの埋め込みを許可しません。

X-XSS-Protection

X-XSS-Protectionは、開発者によるクロスサイトスクリプティングフィルターの動作の変更を可能にします。これらのフィルターは安全ではないHTML入力を特定し、サイトが読み込まれないようにする、または悪意があると考えられるスクリプトを削除します。

X-Content-Type-Options

このヘッダーは、ウェブブラウザでMIMEタイプのスニッフィング機能を制御するために使用されることが一般的です。Content-Typeヘッダーが空白または欠落している場合、ブラウザはコンテンツを識別し、適切な方法でソースを表示しようとします。

Content-Security-Policy

このヘッダーは、XSS、クリックジャッキング、プロトコルダウングレード、およびフレームインジェクションなどの複数の脆弱性に対するセキュリティを強化します。有効にすると、ブラウザがページをレンダリングする方法に大きく影響します。

X-Permitted-Cross-Domain-Policies

クロスドメインポリシーファイルは、Adobe Flash PlayerまたはAdobe Acrobatなどのウェブクライアントに対してドメイン全体のデータを処理する許可を付与するXMLドキュメントです。

Referrer-Policy

Referrer-Policyヘッダーは、Referrerヘッダーで送信されたリファラ情報のうち、どの情報が行われるリクエストに包含される必要があるかを制御します。このセキュリティヘッダーは、ウェブサイトのサーバーからクライアントに対する通信に含めることができます。

Feature-Policy

Feature-Policyヘッダーは、その独自のフレームでのブラウザ機能とAPIの使用を許可および拒否するメカニズムを提供します。

Access-Control-Allow-Origin

Access-Control-Allow-Originヘッダーは、1つのウェブサイトから行われたリクエストに対する別のウェブサイトからの応答に含まれています。このヘッダーは、リクエストの許可されたオリジンも識別します。

Expect-CT

これは、サイトに対して誤って発行された証明書の使用を防ぎ、それらが見過ごされないことを確実にするレスポンスタイプのヘッダーです。

Public-Key-Pins

このレスポンスヘッダーは、HTTPSウェブサイトが、誤って発行された証明書、または不正な証明書を使用する攻撃者によるなりすましを阻止できるようにするセキュリティメカニズムです。

例えば、Strict-Transport-Securityヘッダーは評価に含まれます。以下がその説明です。