http
差分
このページの2つのバージョン間の差分を表示します。
| 次のリビジョン | 前のリビジョン | ||
| http [2010/02/02 06:41] – 外部編集 127.0.0.1 | http [2016/09/22 16:00] (現在) – nullpon | ||
|---|---|---|---|
| 行 2: | 行 2: | ||
| ===== 環境変数 ===== | ===== 環境変数 ===== | ||
| ==== REMOTE_ADDR ==== | ==== REMOTE_ADDR ==== | ||
| + | クライアントのIPアドレスを取得する。 | ||
| + | |||
| プロキシなどを通してアクセスしている場合、カンマ区切りで複数のIPアドレスが入っていることもあるので注意 | プロキシなどを通してアクセスしている場合、カンマ区切りで複数のIPアドレスが入っていることもあるので注意 | ||
| + | |||
| ==== x-forwarded-for ==== | ==== x-forwarded-for ==== | ||
| - | リバースプロキシを使っているとアプリ側のREMOTE_ADDRがリバースプロキシのIPアドレスになってしまうので、x-forwarded-forにクライアントのIPアドレスをセットしておくことが多い。Apacheのmod_proxyを使うとフォワード時にセットされる。 | + | リバースプロキシを使ったときに、クライアントのIPアドレスを取得する |
| + | |||
| + | リバースプロキシを使った場合、アプリ側で取得できるREMOTE_ADDRがリバースプロキシのIPアドレスになってしまう。そこでリバースプロキシで x-forwarded-for にクライアントのIPアドレスをセットしてバックエンドアプリにリクエストを転送し、アプリは x-forwarded-for を参照してクライアントのIPアドレスを得る。 | ||
| + | |||
| + | Apacheのmod_proxyを使うとフォワード時に自動的にセットされる。 | ||
| + | |||
| + | ===== レスポンスヘッダ ===== | ||
| + | ==== X-XSS-Protection ==== | ||
| + | ブラウザのクロスサイトスクリプトフィルタを有効にする。この防御は完璧ではないので注意 | ||
| + | |||
| + | ==== Strict-Transport-Security ==== | ||
| + | これ以降、このドメインではHTTPSでのアクセスのみ行うようにブラウザに指示する | ||
| + | |||
| + | ==== X-Frame-Options ==== | ||
| + | フレーム内に表示することを許可しない設定ができる | ||
| + | |||
| + | ==== X-Content-Type-Options ==== | ||
| + | IEの場合はhtmlでないものをhtmlとして解釈させないための設定。ChromeやFirefoxの場合はscriptタグやlinkタグでJavaScript/ | ||
| + | |||
| + | X-Content-Type-Options nosniff | ||
| + | ==== X-Content-Security-Policy ==== | ||
| + | 外部スクリプトの抑制、インラインスクリプトの実行抑制、外部画像やフレーム内表示の抑制 | ||
| + | |||
http.1265092912.txt.gz · 最終更新: 2014/07/29 05:27 (外部編集)