HSTS(HTTP Strict Transport Security)の設定方法
あるサイトのセキュリティ対策としてHSTS(HTTP Strict Transport Security)を設定してほしいと要望を受けた。HSTSというワード自体把握していなかったのでその辺りの詳細とhtaccessファイルでの設定方法、正常に設定されたか確認する方法をメモ。
目次
HSTS(HTTP Strict Transport Security)
HTSTとは
ウェブサイトがブラウザにHTTPSを用いて通信を行うよう指示するためのもの。
htaccessファイルによるHTTP→HTTPSリダイレクトとはまた違うみたい。
リファレンス
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security
設定方法
htaccessファイル
Header set Strict-Transport-Security "max-age=31536000"
その他項目について
設定可能なその他項目についてはリファレンスのディレクティブを参照すること。
確認方法
Google Chromeの場合「F12キー」で開発者ツールを開き「ネットワークタブ→ヘッダー」でレスポンスヘッダーを確認する。「Strict Transport Security」欄が表示されていればOK。
関連記事
-
-
htmlファイル内でPHPを動かす(AddHandler)
サイトを引き継ぐことがあり、ソースを確認していると拡張子はhtmlなのにPHPの ...
-
-
htaccessファイルにて特定のIPの場合のみBasic認証無し、その他の場合はBasic認証有りにする方法
開発中の環境で指定したIPからのアクセスはBasic認証無しに、それ以外のアクセ ...
-
-
apacheで指定した期間(日時)のアクセスログを抽出する方法
apacheのaccess_logとerror_logで特定日時内のログのみを確 ...
-
-
firebugで「CORS を有効にすると解決できます」と表示される際の対応方法
Aサーバーにjsとかcssとか画像とかを置いて、Bサーバーで呼び出す際にちゃんと ...
-
-
VirtualHostを設定しIPアドレスでもアクセスしたい
apacheでVirtualHostを設定しつつ、IPアドレスでもアクセスしたか ...