セキュリティヘッダ

1. Content-Security-Policy (CSP)

  • CSPは、XSSおよびその他のコードインジェクション攻撃を防止するために使用されます。

Nginx

add_header Content-Security-Policy "default-src 'self';";

Apache

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self';"
</IfModule>

2. X-Content-Type-Options

  • このヘッダーはMIME スニッフィングを防ぎます。

Nginx

add_header Content-Security-Policy "default-src 'self';";

Apache

<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
</IfModule>

3. X-Frame-Options

  • このヘッダーは、クリックジャッキングの防止に使用されます。

Nginx

Apache

4. X-Content-Type-Options

  • HSTSはHTTPSを通じてのみサイトに接続するよう強制します。

Nginx

Apache

5. X-XSS-Protection

  • このヘッダーは、ブラウザのXSSフィルターを有効にします。

Nginx

Apache

Nginx及びApache設定ファイルの位置

  • Nginx:設定ファイルは、一般的に/etc/nginx/nginx.conf または/etc/nginx/conf.d/ディレクトリにあります。

  • Apache: 設定ファイルは通常、/etc/httpd/conf/httpd.conf(CentOS/RHEL)または/etc/apache2/apache2.conf(Debian /Ubuntu)です。

設定ファイルを修正した後、変更を適用するためにウェブ サーバーを再起動する必要があります。

Nginx Restart:

Apache Restart:

Previousセキュリティ設定Nextアップロードパス権限

Last updated