【セキュリティ】静的サイトやWordPressにHTTPヘッダーを追記してセキュリティを高める【.htaccess】

とある案件で推奨セキュリティヘッダーをインストールしてね~って言われたんで覚書。

下記の「Analyse your HTTP response headers」っていうサイトでセキュリティ度合いをざっくり知れるみたい。

Analyse your HTTP response headers
あなたのサイトのHTTPレスポンスヘッダーを解析してくれるサイト
このサイトで「A」評価以上がでればいい感じらしい。

 

.htaccessにセキュリティヘッダーを追記

各設定項目の解説

X-Content Type Options

ファイル形式を誤認する可能性のあるMIME Sniffingを使用せず、Content-Type属性から判断することを強制することで、不正なスクリプトの実行を防止する。

Referrer-Policy

セキュリティ水準が低下する場合”HTTPS→HTTP”リファラーは送信されないようにします。

X-Frame-Options

ブラウザがページをframe, iframe,embed,objectの中に表示する許可設定。他サイトに埋め込まれないよう保証することで、クリックジャッキング攻撃を防いでくれる。

Permissions-Policy

独自のコンテンツにこれらのルールを実装し、外部のiframeがこのブラウザー機能を使用するのも防いでくれ、サイトを保護するための強力なヘッダーにすることができる。

HTTP Strict Transport Security

HTTPの代わりにHTTPSを用いて通信を行うようにする。