[English version is followed after Japanese version]
[Japanese version]
最近、ユーザのセキュリティを守る為に設定すると有用なHTTPヘッダが増えてきています。ブラウザごとの対応/非対応の差が少なくなってきたためである。本記事は、セキュリティに関連するHTTPヘッダを紹介します。
Strict-Transport-Securityヘッダ
サーバからStrict-Transport-Securityヘッダをレスポンスすることで、以降の通信をHTTPSでアクセスさせる。ブラウザに機能が実装されている場合のみ有効である。ヘッダの詳細は以下の通りである。max-age
ブラウザが当該ヘッダをレスポンスしたサイトに対してHTTPSのみで接続する時間である。単位は秒である。 includeSubDomains Optional
サブドメインにも同様のルールを適用する場合に設定するオプションである。
[Japanese version]
はじめに
最近、ユーザのセキュリティを守る為に設定すると有用なHTTPヘッダが増えてきています。ブラウザごとの対応/非対応の差が少なくなってきたためである。本記事は、セキュリティに関連するHTTPヘッダを紹介します。
Strict-Transport-Securityヘッダ
サーバからStrict-Transport-Securityヘッダをレスポンスすることで、以降の通信をHTTPSでアクセスさせる。ブラウザに機能が実装されている場合のみ有効である。ヘッダの詳細は以下の通りである。
Strict-Transport-Security: max-age=expireTime [; includeSubDomains]
ブラウザが当該ヘッダをレスポンスしたサイトに対してHTTPSのみで接続する時間である。単位は秒である。
サブドメインにも同様のルールを適用する場合に設定するオプションである。
コメント