Securing your site

草案
このページは完成していません。

あなたのサイトをセキュアにするためにできることはいくつもあります。この記事ではさまざまな提案や、より役立つ情報を提供する記事へのリンクを紹介します。

注: この記事は作業中であり未完成です。また以下の提案内容があなたのサイトを十分にセキュアにすることは保証しません。

ユーザ情報のセキュリティ

How to turn off form autocompletion
Gecko ではフォームフィールドでオートコンプリートをサポートします。これによりフォームの値を記憶しておき、次回ユーザがサイトを訪れたときにその値を自動的に戻すことができます。ある種類のデータでは、この機能を無効にすることを望むでしょう。
Privacy and the :visited selector
この記事では悪意のあるサイトがユーザの閲覧履歴を理解する可能性を取り除くよう getComputedStyle() メソッドに行った変更点を論じます。

コンテンツのセキュリティ

Properly configuring server MIME types
不正な MIME タイプによりあなたのサイトで潜在的なセキュリティの問題を引き起こすことが可能な方法があります。この記事ではそれらの一部を説明し、サーバに正しい MIME タイプでファイルを提供させるための設定を示します。
HTTP Strict Transport Security
Strict-Transport-Security: HTTP ヘッダは、Web サイトが HTTPS のみを用いてアクセスされるよう指定することを可能にします。
HTTP access control
Cross-Origin Resource Sharing 標準仕様は、どのコンテンツを他のドメインから読み込んでよいかを指定する方法を提供します。これは、あなたのサイトが不適切に使用されるのを防ぐために用いることもできます。さらに、他のサイトが使用することを特に許可したリソースを確定するために用いることもできます。
Content Security Policy
クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などある種の攻撃の検出や軽減を支援する追加のセキュリティ層です。これらの攻撃はデータの窃取からサイトの改ざんやマルウェアの拡散まで、あらゆるところで行われます。
The X-FRAME-OPTIONS response header

X-Frame-Options: HTTP レスポンスヘッダは、ブラウザが <frame> 内のページをレンダリングすることを許可すべきかを指定するために用いることができます。サイトはこのレスポンスヘッダを、クリックジャッキング攻撃を防止するために使用することができます。これは、自分のサイトのコンテンツが他のサイトに埋め込まれないと保証することによります。

参考情報

Document Tags and Contributors

Contributors to this page: yyss
最終更新者: yyss,