最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。
| |
0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 |
|---|---|
| |
nosniff を指定した場合には、IE8+においてコンテンツの内容からファイルタイプを推測する動作がなくなる。非HTMLがHTML扱いされることによって発生するXSSの防御に有効。 |
| コンテンツを他のフレーム内で表示可能かどうかを指定。クリックジャック対策に有効。DENY を指定すると外部からフレームに埋め込んでコンテンツを表示することはできなくなる。SAMEORIGIN を指定すると同じドメインのときのみフレーム内に埋め込んでコンテンツを表示することができる。IE8+、Chrome、Safari、Opera、Firefoxの各ブラウザで対応している。 |
|
| |
IE8+においてブラウザのドキュメントモードを指定する。Google Chrome Frame を使用している場合には X-UA-Compatible: chrome=1 と指定することでIE内でGoogle Chrome Frameを使ってコンテンツを表示させることができる。 |
| |
Firefox 4+で有効。Content Security Policy を有効にする。(そのうちきちんと書くかも…) |
というか、ほとんどがIE8以降にMicrosoftが導入なんだから、Microsoftはきちんと整理して文書にまとめて欲しい。