HSTS(HTTP Strict Transport Security)の設定方法
あるサイトのセキュリティ対策としてHSTS(HTTP Strict Transport Security)を設定してほしいと要望を受けた。HSTSというワード自体把握していなかったのでその辺りの詳細とhtaccessファイルでの設定方法、正常に設定されたか確認する方法をメモ。
目次
HSTS(HTTP Strict Transport Security)
HTSTとは
ウェブサイトがブラウザにHTTPSを用いて通信を行うよう指示するためのもの。
htaccessファイルによるHTTP→HTTPSリダイレクトとはまた違うみたい。
リファレンス
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security
設定方法
htaccessファイル
Header set Strict-Transport-Security "max-age=31536000"
その他項目について
設定可能なその他項目についてはリファレンスのディレクティブを参照すること。
確認方法
Google Chromeの場合「F12キー」で開発者ツールを開き「ネットワークタブ→ヘッダー」でレスポンスヘッダーを確認する。「Strict Transport Security」欄が表示されていればOK。
関連記事
-
-
他ドメインから画像の呼び出し(直リンク)を禁止する方法
他ドメインからの画像の呼び出し、いわゆる直リンクの禁止を行いたかった。調べるとh ...
-
-
アクセスしてきたURLをRewriteRuleで書き換えたい
「http://aaa.com/a」というURLを叩いた際に「http://aa ...
-
-
htaccessファイルで海外からのアクセスをIP制限する方法
「サーバー立てたらすぐ攻撃が来る」と聞いたのでアクセスログを確認したところ、海外 ...
-
-
画像やPDF等のファイルへの直接アクセスは禁止し、PHP経由のみ表示やダウンロードを可能にする
ファイルアップローダーを作成する案件があり、アップロードしたファイルは「http ...
-
-
ブラウザがWebP対応の場合はそのまま表示し、非対応の場合はjpg/png画像を表示させる方法
ページ表示時にブラウザがWebP画像に対応している場合はそのまま表示し、非対応の ...