セキュリティの観点からのHTTPヘッダーの重要なフィールド

Question

セキュリティの観点からのHTTPヘッダーの重要なフィールドは何ですか？ Googleで検索しようとしましたが、見つかりませんでした。誰かが私にそれについて読むためのリンクを提供できますか？前もって感謝します。

danlefree · Accepted Answer

セキュリティの観点からのHTTPヘッダーの重要なフィールドは何ですか？

セキュリティに関しては、最も安全な対応はeverythingを考慮し、攻撃者が悪用することが知られているものを優先することです。

サーバーがリクエストで返すヘッダーは、攻撃者にとって重要です（特に Webサーバーに関するソフトウェア/バージョン情報を公開するフィールド、または攻撃者がサーバーをプロファイルできるフィールド）。（...この点でのJohn Condeのmod_headerディレクティブに対して+1-クライアントブラウザーにCSRF/XSSポリシーを適用するように指示することは間違いありません）

Webサーバーとアプリケーションがリクエストで受け入れるヘッダー（つまり、Webサーバーまたはアプリケーションが解析する必要のあるもの）は、（a）Webサーバーがおそらくそれらすべてを解析しようとするため、あなたにとって重要です。バッファオーバーフローまたは slowloris 攻撃を実行するための手段-および（b）アプリケーションがサニタイズおよび/または検証する必要がある（変更された可能性があるCookieの場合のように））入力として使用されるもの。

John Conde · Answer

ここに私が使用するものがあります：

# Don't allow any pages to be framed by my site or any others # Defends against Clickjacking! Header set X-Frame-Options DENY # Only allow JavaScript from the same domain to be run. # Also, don't allow inline JavaScript to run. Header set X-Content-Security-Policy "allow 'self';" # Turns on IE 8 XSS prevention tools Header set X-XSS-Protection "1; mode=block" # Don't send out the Server header. This way no one knows what # version of Apache and PHP I am using Header unset Server

有用なインク：

https://developer.mozilla.org/en/the_x-frame-options_response_header https://wiki.mozilla.org/Security/CSP/Specification http://www.google.com/support/forum/p/Web%20Search/thread?tid=187e02e745a50a77&hl=en

Jeff Atwood · Answer

また、重要なCookieヘッダーがHttpOnlyオプションで送信されることを確認する必要があります。

http://www.owasp.org/index.php/HttpOnly

ModSecurity を使用してこれを外部的に強制する方法があります。もちろん、Cookieを設定するアプリケーションコード内から設定することができます（もちろん、そうする必要があります）。