セキュリティHTTPヘッダ設定 | Synergy! サポートページ

セキュリティHTTPヘッダ設定

フォームの脆弱性対策を設定します。

フォーム>セキュリティHTTPヘッダ設定をクリックしてください。
※設定を変更するとブランクメールを含むフォーム全てに反映されます。

2020年6月23日以降にご契約いただいたSynergy!では、すべての初期設定が「ヘッダあり(【フォーム呼び出しを禁止する】もしくは【設定する】)」になります。

これらの設定はHTTPレスポンスヘッダに追加する設定となり、HTMLソース内に情報が追加されるものではありません。

クリックジャッキング対策(X-Frame-Options設定)

クリックジャッキングと呼ばれるiframe(インラインフレーム)で表示させた透明のページ(フォーム)を悪質なWebページの上にかぶせ、利用者に意図しない動作をさせようとする攻撃手法の防御に有効です。

iframeなどでのフォーム呼び出しを禁止する

HTTPレスポンスヘッダに【X-Frame-Options: DENY】を追加し、他のWebページのiframe(インラインフレーム)内にフォームが表示されることを防ぎます。

フォーム内に別のページをiframeで読み込むことは禁止しません。

指定するドメインからのみ、iframeなどでのフォーム呼び出しを許可する

HTTPレスポンスヘッダに【X-Frame-Options: ALLOW-FROM <指定ドメイン>】と【Content-Security-Policy: frame-ancestors <指定ドメイン>】を追加し、枠内に指定したドメインページのみでWebページのiframe(インラインフレーム)内にフォームが表示されることを許可します。

・http://またはhttps://から始まるURLが指定できます。
  ・ポート番号は任意です。
  ・サブドメインにワイルドカードが利用できます。
  ・複数指定する場合は半角スペースで区切り、4000文字以内におさめてください。

iframeなどでのフォーム呼び出しを禁止しない

HTTPレスポンスヘッダには何も追加しません。

X-XSS-Protection設定

クロスサイトスクリプティングと呼ばれる不正なスクリプトを実行し情報漏えい、データの不正登録や破壊、サイトの改ざんなどを行う攻撃手法の防御に有効です。
※Internet Explorer8以上とSafariに有効で、Internet Explorer7以下やその他のブラウザには対応していません。

X-XSS-Protectionを設定する

HTTPレスポンスヘッダに【X-XSS-Protection: 1; mode=block】を追加し、フォームに悪意のあるスクリプトが埋め込まれるのを防ぎます。

X-XSS-Protectionを設定しない

HTTPレスポンスヘッダには何も追加しません。

X-Content-Type-Options設定

MIMEスニッフィングと呼ばれるファイルダウンロード時にファイル形式をブラウザに誤認させてスクリプトを実行させてしまうような攻撃手法(XSS攻撃)の防御に有効です。
※Internet Explorer8以下に有効でその他のブラウザやバージョンではこの脆弱性はありません。

X-Content-Type-Optionsを設定する

HTTPレスポンスヘッダに【X-Content-Type-Options: nosniff】を追加し、ファイルの内容をContent-Type属性から正しく判断させ誤認を防ぎます。

X-Content-Type-Optionsを設定しない

HTTPレスポンスヘッダには何も追加しません。



この記事へのご意見、ご指摘がございましたらご入力ください。
※ご入力内容への返信はできません。お問い合わせの場合はこちらからお願いします。
この記事は参考になりましたか?
参考になった参考にならなかった
読み込み中...