レスポンスヘッダ設定の推奨事項

公開済み: 2021年7月13日
更新: 2021年7月13日
作成者: 山内道晴
カテゴリー: CakePHP, PHP, セキュリティ対応, 開発者ブログ

AppController.phpのinitialize()に

$this->response = $this->response->withHeader('Strict-Transport-Security', 'max-age=31536000')
    ->withHeader('X-XSS-Protection', '1; mode=block')
    ->withHeader('Content-Security-Policy', "default-src 'self'; script-src 'self' cdn.jsdelivr.net 'unsafe-inline'; style-src cdn.jsdelivr.net 'unsafe-inline' 'self'");

$this->response = $this->response->withHeader('Strict-Transport-Security', 'max-age=31536000')

->withHeader('X-XSS-Protection', '1; mode=block')

->withHeader('Content-Security-Policy', "default-src 'self'; script-src 'self' cdn.jsdelivr.net 'unsafe-inline'; style-src cdn.jsdelivr.net 'unsafe-inline' 'self'");

を追加

scriptやstyleには、CDNで読み込む場合はそのドメインも都度設定すること。

この投稿へのコメント

コメントはありません。

コメントを残すコメントをキャンセル

この投稿へのトラックバック

トラックバックはありません。

トラックバック URL

個人情報保護方針

サイトのご利用について

情報セキュリティ基本方針

レスポンスヘッダ設定の推奨事項

この投稿へのコメント

コメントを残す コメントをキャンセル

この投稿へのトラックバック

コメントを残すコメントをキャンセル