HTTPセキュリティヘッダー チートシート
HTTPセキュリティヘッダーのクイックリファレンス。CSP、トランスポートセキュリティ、フレーミング保護、Content-Type、Referrer Policy、Permissions、CORS、非推奨ヘッダーを網羅
49 件のコマンド
default-srcすべてのリソースタイプのデフォルトポリシーを設定
Content-Security-Policy: default-src 'self'script-srcJavaScriptの読み込み元を制限
Content-Security-Policy: script-src 'self' 'nonce-abc123'style-srcCSSスタイルシートの読み込み元を制限
Content-Security-Policy: style-src 'self' 'unsafe-inline'img-src画像の読み込み元を制限
Content-Security-Policy: img-src 'self' data: https:connect-srcXHR/Fetch/WebSocketの接続先を制限
Content-Security-Policy: connect-src 'self' https://api.example.comfont-srcWebフォントの読み込み元を制限
Content-Security-Policy: font-src 'self' https://fonts.gstatic.comframe-srciframe内に埋め込めるソースを制限
Content-Security-Policy: frame-src 'self' https://www.youtube.comobject-srcプラグイン(Flash等)のソースを制限
Content-Security-Policy: object-src 'none'base-uribase要素で使用できるURLを制限
Content-Security-Policy: base-uri 'self'form-actionフォームの送信先URLを制限
Content-Security-Policy: form-action 'self'report-uri / report-toCSP違反レポートの送信先を設定
Content-Security-Policy: default-src 'self'; report-to csp-reportsCSP noncenonceベースのインラインスクリプト許可
<script nonce="abc123">...</script>CSP hashハッシュベースのインラインスクリプト許可
script-src 'sha256-base64encodedHash...'strict-dynamic信頼されたスクリプトが読み込むスクリプトも許可
script-src 'strict-dynamic' 'nonce-abc123'CSP Report-OnlyブロックせずCSP違反をレポートのみ出力
Content-Security-Policy-Report-Only: default-src 'self'Strict-Transport-SecurityブラウザにHTTPS接続を強制
Strict-Transport-Security: max-age=31536000; includeSubDomainsHSTS preloadHSTSプリロードリストにドメインを登録
Strict-Transport-Security: max-age=63072000; includeSubDomains; preloadHSTS includeSubDomainsサブドメインにもHSTSを適用
Strict-Transport-Security: max-age=31536000; includeSubDomainsHTTPSリダイレクト (Nginx)NginxでHTTPからHTTPSへリダイレクト
return 301 https://$host$request_uri;HTTPSリダイレクト (Apache)ApacheでHTTPからHTTPSへリダイレクト
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]X-Frame-Options: DENYページのiframe埋め込みを完全に禁止
X-Frame-Options: DENYX-Frame-Options: SAMEORIGIN同一オリジンからのiframe埋め込みのみ許可
X-Frame-Options: SAMEORIGINCSP frame-ancestorsX-Frame-Optionsの後継。より柔軟なフレーム制御
Content-Security-Policy: frame-ancestors 'self' https://trusted.comNginx X-Frame-OptionsNginxでX-Frame-Optionsヘッダーを設定
add_header X-Frame-Options "SAMEORIGIN" always;X-Content-Type-OptionsMIMEタイプスニッフィングを防止
X-Content-Type-Options: nosniff正しいContent-Type設定レスポンスに正確なContent-Typeを設定
Content-Type: application/json; charset=utf-8X-Download-OptionsIEのダウンロード時の自動実行を防止
X-Download-Options: noopenno-referrerリファラーを一切送信しない
Referrer-Policy: no-referrersame-origin同一オリジンのリクエストにのみリファラーを送信
Referrer-Policy: same-originstrict-origin-when-cross-origin推奨設定。クロスオリジンではオリジンのみ送信
Referrer-Policy: strict-origin-when-cross-originno-referrer-when-downgradeHTTPSからHTTPへのダウングレード時にリファラーを送信しない
Referrer-Policy: no-referrer-when-downgradeoriginオリジン(ドメイン)のみをリファラーとして送信
Referrer-Policy: origincameraカメラへのアクセスを制御
Permissions-Policy: camera=(self)microphoneマイクへのアクセスを制御
Permissions-Policy: microphone=()geolocation位置情報へのアクセスを制御
Permissions-Policy: geolocation=(self)paymentPayment Request APIの使用を制御
Permissions-Policy: payment=(self)fullscreenフルスクリーンAPIの使用を制御
Permissions-Policy: fullscreen=(self)autoplayメディアの自動再生を制御
Permissions-Policy: autoplay=(self)interest-cohortFLoC(広告追跡)を無効化
Permissions-Policy: interest-cohort=()Access-Control-Allow-Origin許可するオリジンを指定
Access-Control-Allow-Origin: https://example.comAccess-Control-Allow-Methods許可するHTTPメソッドを指定
Access-Control-Allow-Methods: GET, POST, PUT, DELETEAccess-Control-Allow-Headers許可するリクエストヘッダーを指定
Access-Control-Allow-Headers: Content-Type, AuthorizationAccess-Control-Allow-Credentialsクレデンシャル付きリクエストを許可
Access-Control-Allow-Credentials: trueAccess-Control-Max-Ageプリフライトレスポンスのキャッシュ時間を指定
Access-Control-Max-Age: 86400Access-Control-Expose-Headersクライアントに公開するレスポンスヘッダーを指定
Access-Control-Expose-Headers: X-Request-IdX-XSS-Protection (非推奨)ブラウザのXSSフィルターを制御。CSPに置き換え推奨
X-XSS-Protection: 0Public-Key-Pins (非推奨)証明書のピン留め。Certificate Transparencyに置き換え
# 使用しないこと / Do not useExpect-CT (非推奨)Certificate Transparency要求。ブラウザがデフォルトで対応
# TLS 1.3では不要 / Not needed for TLS 1.3X-Permitted-Cross-Domain-Policies (非推奨)Flash/Acrobatのクロスドメインポリシーを制御。プラグイン廃止により不要
X-Permitted-Cross-Domain-Policies: none