セキュリティヘッダーには、お使いのアプリケーションのセキュリティ強化に使用できる HTTP レスポンスヘッダーが記載されています。すなわち、これらのヘッダーは、ウェブブラウザに、サイトを攻撃から保護するセキュリティ注意事項セットを起動するように指示します。
Strict-Transport-Security
Strict Transport Security は、ウェブサイトのプロトコルダウングレード攻撃や Cookie ハイジャックからの安全保護が可能なウェブセキュリティポリシーメカニズムです。このポリシーにより、ウェブサーバーは、セキュア HTTPS 接続を使用して、非セキュア HTTP プロトコルを経ることなく、応答することができます。
X-Frame-Options
X-Frame-Options レスポンスオプションヘッダーではウェブアプリケーションのクリックハックからの保護を強化します。これにより、サイト上の iframes の存続を無効にし、他者によるお客様コンテンツへの埋め込みができなくなります。
X-XSS-Protection
X-XSS-Protection では、開発者は、クロスサイトスクリプティング セキュリティフィルターの挙動を変更することができます。これらのフィルターは、安全はない HTML 入力を特定し、サイトを読み込むのをブロックするか、悪意のあるスクリプトの可能性があるものを削除します。
X-Content-Type-Options
このヘッダーは通常、ウェブブラウザの MIME タイプのスニッフィング機能を管理するのに使用します。Content-Type ヘッダーが空白または欠けている場合、ブラウザは、そのコンテンツを識別し、適切な方法でそのソースを表示しようとします。
Content-Security-Policy
このヘッダーは、XSS、クリックジャック、プロトコルダウングレードおよびフレームインジェクションなど、複数の脆弱性に向け、セキュリティのための特別レイヤを提供します。これを有効にすると、ブラウザのページ活用方法に大きな影響が及びます。
X-Permitted-Cross-Domain-Policies
Cross-domain policy ファイルは、Adobe Flash Player や Adobe Acrobat (これらに限定するわけではない) などのウェブクライアントに、ドメインを超えたデータのハンドリングを許可する XML ドキュメントでます。
Referrer-Policy
Referrer-Policy HTTP ヘッダーは、参照ヘッダーに送信された、どの参照情報を申請に使用するかを管理します。すなわち、このセキュリティヘッダーは、ウェブサーバー空クライアントへの通信上に含めることができます。
Feature-Policy
Feature-Policy header ヘッダーは、ブラウザ機能および API の各自フレーム内での使用を許可および拒否するメカニズムです。
Access-Control-Allow-Origin
Access-Control-Allow-Origin ヘッダーは、1つのウェブサイトから、別のウェブサイトからの申請へのレスポンスに含まれ、申請の許可されたオリジンを識別します。
Expect-CT
これは、サイトの間違って発行された証明書を防止し、通知されないことがないようにする response-type ヘッダーです。
Public-Key-Pins
このレスポンスヘッダーは、HTTPS が、誤発行またはそれ以外で不正証明書を使用した攻撃者によるなりすましに対抗できるセキュリティメカニズムです。
例えば、Strict-Transport-Security ヘッダーを評価します。説明は以下のとおりです。
認証 | サーバーレーティング |
---|---|
max-age < 10368000 (120 days) | At risk |
max-age >= 10368000 and max-age < 31536000 | Secure |
max-age >= 31536000 (1 year) | 非常に安全 |
Strict-Transport-Security は、申請が (HTTP 200 OK) を超えた場合のみ、評価されます。
HTTP レスポンスヘッダーには、ウェブサーバーが HTTP 申請を受け取ったときにブラウザに返信するファイルの日付とサイズ、タイプを含む情報が記載されています。
HTTP レスポンスで受け取ったヘッダーはすべて、分析で利用できます。
安全通信のため、TLS クライアントとサーバーは、暗号アルゴリズムと、両者がセキュア接続に使用するキーに同意する必要があります。
ただし、選択肢には複数の組み合わせがあり、TLS が許可するのは、Cipher Suites と呼ばれる、これらの選択肢の適正定義された特定の組み合わせのみです。
Discovery は、サーバーがサポートする Cipher Suites のすべてを特定し、業界ベストプラクティスに倣い、それらを非安全、弱い、安全のカテゴリに分類します。
“安全な” カテゴリは、使用が安全な推奨暗号スイートで構成されています。