クライアントのIPアドレスを取得する。

プロキシなどを通してアクセスしている場合、カンマ区切りで複数のIPアドレスが入っていることもあるので注意

リバースプロキシを使ったときに、クライアントのIPアドレスを取得する

リバースプロキシを使った場合、アプリ側で取得できるREMOTE_ADDRがリバースプロキシのIPアドレスになってしまう。そこでリバースプロキシで x-forwarded-for にクライアントのIPアドレスをセットしてバックエンドアプリにリクエストを転送し、アプリは x-forwarded-for を参照してクライアントのIPアドレスを得る。

Apacheのmod_proxyを使うとフォワード時に自動的にセットされる。

ブラウザのクロスサイトスクリプトフィルタを有効にする。この防御は完璧ではないので注意

これ以降、このドメインではHTTPSでのアクセスのみ行うようにブラウザに指示する

フレーム内に表示することを許可しない設定ができる

IEの場合はhtmlでないものをhtmlとして解釈させないための設定。ChromeやFirefoxの場合はscriptタグやlinkタグでJavaScript/CSSとして読みこれたときにJavaScript/CSSとして処理させないようにする。

  X-Content-Type-Options nosniff

外部スクリプトの抑制、インラインスクリプトの実行抑制、外部画像やフレーム内表示の抑制