セキュリティ対策機能ヘッダ

• X-Frame-Options
• X-Content-Type-Options

• X-XSS-Protection

• 設定例

  Apache HTTP Server(mod_headersモジュール使用)

  Header always append X-Frame-Options "SAMEORIGIN"; Header always append X-Content-Type-Options nosniff; Header always append X-XSS-Protection "1; mode=block";

Cookieを使用する場合のセキュリティ対策

• Secure属性 　HTTPSによる通信時のみCookieを webサーバに送信する
• HttpOnly属性 　webブラウザでクライアント側のスクリプト経由でCookieに保存されているデータを読み込みできなくなる

MIME タイプ

文書の性質や形式を示すために標準化されたもの IETF　RFC　6838で定義及び標準化されている サーバが提供するファイルが、どのような種類のファイルであるのかをサーバ側で定めたもの

ブラウザは文書を処理する方法をきめるためにMIMEタイプを良く使用する サーバからの応答オブジェクトのヘッダーに正しくMIMEタイプを割り当てるように設定していることが重要

• 構文

  top level type/subtype

• 例

  text/plain text/html apolication/json application/javascript

利用される