覚え書き
セキュリティ対策機能ヘッダ
- X-Frame-Options
- X-Content-Type-Options
X-XSS-Protection
設定例
Apache HTTP Server(mod_headersモジュール使用)
Header always append X-Frame-Options "SAMEORIGIN"; Header always append X-Content-Type-Options nosniff; Header always append X-XSS-Protection "1; mode=block";
Cookieを使用する場合のセキュリティ対策
- Secure属性 HTTPSによる通信時のみCookieを webサーバに送信する
- HttpOnly属性 webブラウザでクライアント側のスクリプト経由でCookieに保存されているデータを読み込みできなくなる
MIME タイプ
文書の性質や形式を示すために標準化されたもの IETF RFC 6838で定義及び標準化されている サーバが提供するファイルが、どのような種類のファイルであるのかをサーバ側で定めたもの
ブラウザは文書を処理する方法をきめるためにMIMEタイプを良く使用する サーバからの応答オブジェクトのヘッダーに正しくMIMEタイプを割り当てるように設定していることが重要
- 構文
top level type/subtype
- 例
text/plain text/html apolication/json application/javascript