草案
このページは完成していません。

サイトをよりセキュアにする方法はいくつもあります。この記事はその方法を紹介するとともに他のより有益な記事へのリンクを掲載しています。

メモ: この記事は作成途中であり、以下の事項に従うことによりあなたのサイトが完全にセキュアになることを保証するものではありません。

ユーザー情報のセキュリティ

フォームオートコンプリートを無効にするには
Geckoではフォームのオートコンプリートがサポートされています。つまり、ユーザがフォームに入力した値を記憶し、次回訪問時には自動的にその値が入力されることになります。ある特定のデータに関しては、この機能を無効にしたほうが適切かもしれません。
プライバシーと :visited セレクター
この記事では悪質なサイトがユーザーの閲覧履歴を取得できないようにするために getComputedStyle() メソッドに加えられた変更について議論しています。
安全なアルゴリズムを使用したパスワードのハッシュ (OWASP)
プレーンテキストでパスワードを格納すると、攻撃者がサイトのユーザーの正確なパスワードを知り、漏洩させることにつながり、ユーザーを危険にさらすことになります。古く安全ではないハッシュアルゴリズム (md5 など) を使用すると、同じ問題が浮上します。メッセージダイジェストアルゴリズム (md5 や sha) ではなくパスワード専用のハッシュアルゴリズム (Argon2, PBKDF2, scrypt, bcrypt など) を使用するようにしてください。この記事はパスワードを格納するときに使用することができるベストプラクティスのショーケースです。

コンテンツセキュリティ

サーバのMIMEタイプを正しく設定する
MIMEタイプを正しく設定しないことにより、幾つかの潜在的なセキュリティ上の問題が発生します。この記事ではそのうちのいくつかを紹介し、サーバーで MIME タイプを正しく設定する方法を示します。
HTTP Strict Transport Security
Strict-Transport-Security: HTTPヘッダーを使うと、そのサイトが HTTPS でのみアクセスされるべきであるということを示すことができます。
HTTP アクセス制御
Cross-Origin Resource Sharing標準はどのコンテンツが他のドメインから読み込まれるかを示す方法を提供します。この仕組みによりあなたのサイトが意図せず使われることを防いだり、明示的に使用を許可できます。
Content Security Policy
クロスサイトスクリプティング (XSS) やデータインジェクション攻撃を含む、特定の攻撃を検知したり軽減したりすることができる追加のセキュリティレイヤーです。ここで検知したり軽減できる攻撃は、データ盗難からマルウェア配布のためのサイト改ざんまで、あらゆる場面で利用されます。
X-Frame-Options 応答ヘッダ

X-Frame-Options: HTTP 応答ヘッダーはページを <frame> 内で描画して良いかどうかを示すために使われます。これを使うことにより自身のサイトが他のサイトに埋め込まれていないことを保証できるためクリックジャッキングを防ぐことができます。

htaccess を使用してサイトを安全にする
.htaccess を使ってサイトを安全にするための最良の方法と、ほぼすべてのトリックを紹介します。 IP アドレスのブラックリスト、ウェブサイトの特定の領域へのアクセス制御、様々なファイルの保護、画像のホットリンクからの防止、その他多数です。

関連項目

ドキュメントのタグと貢献者

このページの貢献者: mfuji09, satakeh, hashedhyphen
最終更新者: mfuji09,