エンタープライズソリューション：セキュリティヘッダーを追加・設定する

Web ページで利用できるプラットフォームの機能を制御し、機密性の高い API へのアクセスを制限することでセキュリティとプライバシーを強化します。Permissions-Policy に関する詳細はこちら

Web ページがフレーム内に表示できるかどうかを決定し、フレーミングを制限することでクリックジャッキング攻撃を防止します。X-Frame-Options に関する詳細はこちら

ページ間を移動する際に、HTTP Referrer ヘッダーに含める情報量を指定し、ユーザーのプライバシーを強化してデータの漏えいを防ぎます。Referrer-Policy に関する詳細はこちら

安全な HTTPS 接続を強制的に確立し、ブラウザとサーバー間のすべての通信が HTTPS で行われるようにすることで中間者攻撃を防ぎます。Strict-Transport-Security（HSTS）に関する詳細はこちら

Web ページが読み込みを許可するリソースを制御し、クロスサイトスクリプティング（XSS）攻撃やデータインジェクションなどのリスクを軽減します。Content-Security-Policy（CSP）に関する詳細はこちら

サーバーが指定したコンテンツタイプ（ファイルやドキュメントの形式を識別する方法である MIME（多目的インターネットメール拡張）タイプ）を使用し、変更しないようにブラウザに指示します。これにより、MIME タイプのスニッフィングを防ぎ、コンテンツタイプを意図したとおりに使用することができます。 X-Content-Type-Options に関する詳細はこちら

組織サイトの管理を担当する Web 開発者は、Permissions-Policy ヘッダーを使用して許可または制限したいサイトの機能を指定することができます。API へのアクセスとブラウザの動作を制御する一連のポリシーを定義できるため、サイトをベストプラクティスに準拠させながら、サードパーティのコンテンツをより安全に統合できるようになります。

注意：Content-Security-Policy HTTP ヘッダーには frame-ancertors ディレクティブがあり、サポートしているブラウザではこのヘッダーが無効になります。

X-Frame-Options HTTP レスポンスヘッダーは、ブラウザがフレーム、iframe、埋め込み、またはオブジェクト内でページを表示できるかどうかを決定し、クリックジャッキング攻撃を防ぐ役割を果たしますが、これはユーザーのブラウザが X-Frame-Options をサポートしている場合にのみ効果的です。

Referrer-Policy HTTP ヘッダーは、Referrer ヘッダー経由のリクエストで送信される Referrer 情報のレベルを規定し、このポリシーは HTML でも指定することができます。

HTTP Strict-Transport-Security（HSTS）レスポンスヘッダーは、HTTPS 経由でのみサイトにアクセスするようにブラウザに指示し、HTTP でのアクセス試行が発生した場合は自動的に HTTPS に変換します。

Content Security Policy（CSP）は、クロスサイトスクリプティング（XSS）やデータインジェクションなどの特定のタイプの攻撃を特定し、防止することでサイトの保護を強化します。これらの攻撃は、データの収集からマルウェアの拡散、ウェブサイトへの損害など、さまざまな危険を引き起こす可能性があります。

「ディレクティブ」フィールドに、関連するすべてのディレクティブとそれに対応する値を入力します。

X-Content-Type-Options セキュリティヘッダーは、ブラウザがファイルのコンテンツタイプを変更できないようにします。これにより、サーバーによって指定された MIME タイプが確実に守られます。

ウェブサイトがファイルをプレーンテキスト文書（MIME タイプ：text/plain ）として提供する場合、ヘッダーがないと、ブラウザは MIME タイプスニッフィングにより、そのファイルが実行可能なスクリプト（MIME タイプ：text/javascript ）と誤って解釈する可能性があります。これにより、悪意のあるスクリプトが実行され、セキュリティ上のリスクが生じる可能性があります。X-Content-Type-Options ヘッダーは、ブラウザがファイルをプレーンテキストとしてのみ扱うことで、それを阻止します。

「X-Content-Options」横のチェックボックスを選択します。