MDN wants to talk to developers like you: https://qsurvey.mozilla.com/s3/a3e7b5301fea

あなたのサイトをセキュアにするためには

草案
このページは完成していません。

あなたのサイトをよりセキュアにする方法はいくつもあります。この記事はその方法を紹介するとともに他のより有益な記事へのリンクを掲載しています。

注意: この記事は作成途中であり、以下の事項に従うことによりあなたのサイトが完全にセキュアになることを保証するものではありません。

ユーザ情報のセキュリティ

フォームオートコンプリートを無効にするには
Geckoではフォームのオートコンプリートがサポートされています。つまり、ユーザがフォームに入力した値を記憶し、次回訪問時には自動的にその値が入力されることになります。ある特定のデータに関しては、この機能を無効にしたほうが適切かもしれません。
:visitedセレクタとプライバシ
この記事では悪質なサイトがユーザの閲覧履歴を取得できないようにするためにgetComputedStyle()メソッドに加えられた変更について議論しています。

コンテンツセキュリティ

サーバのMIMEタイプを正しく設定する
MIMEタイプを正しく設定しないことにより、幾つかの潜在的なセキュリティ上の問題が発生します。この記事ではそのうちのいくつかを紹介し、あなたのサーバでMIMEタイプを正しく設定する方法を示します。
HTTP Strict Transport Security
Strict-Transport-Security: HTTPヘッダを使うと、そのサイトがHTTPSでのみアクセスされるべきであるということを示すことができます。
HTTP access control
Cross-Origin Resource Sharing標準はどのコンテンツが他のドメインから読み込まれるかを示す方法を提供します。この仕組みによりあなたのサイトが意図せず使われることを防いだり、明示的に使用を許可できます。
Content Security Policy
クロスサイトスクリプティング(XSS)やデータインジェクション攻撃を含む、特定の攻撃を検知したり軽減したりすることができる追加のセキュリティレイヤです。ここで検知したり軽減できる攻撃は、データ盗難からマルウェア配布のためのサイト改ざんまで、あらゆる場面で利用されます。
X-Frame-Options レスポンスヘッダ

X-Frame-Options: HTTPレスポンスヘッダはページを<frame>内で描画して良いかどうかを示すために使われます。これを使うことにより自身のサイトが他のサイトに埋め込まれていないことを保証できるためクリックジャッキングを防ぐことができます。

関連項目

ドキュメントのタグと貢献者

 このページの貢献者: satakeh, hashedhyphen
 最終更新者: satakeh,