セキュリティテスト関係
セキュリティテスト関係
サイト
Content Security Policy (CSP)
自身サイトや指定したサイトからしか、JS/CSSを取らせない仕組み。
Content-Security-Policy: default-src 'self'
- 仕様説明
- Googleによる説明
- SpringBootでの仕込み方
X-Frame-Options レスポンスヘッダ
iFrameを使わせないヘッダ。
DENYが望ましいが、怖いのでSAMEORIGINを設定っした。
X-Frame-Options SAMEORIGIN;
Strict Transport Security (HSTS)
httpをhttpsに飛ばすHTTPヘッダ。
- 仕様説明
- SpringSecurityへの仕込み方
- SpringSecurityへの仕込み方2
SecureCookie
Cookieにセキュアオプションつける。
つけるには、ServletInitializerを弄う…が「つけることには成功したが挙動しなくなった」ので、断念。
- 概念と仕込み方
- httpsしかないサイトには設定してもあんま意味ないかもよ?の話
blog comments powered by