Cat Paw Software

この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。

====== HTTP ======
===== 環境変数 =====
==== REMOTE_ADDR ====
クライアントのIPアドレスを取得する。

プロキシなどを通してアクセスしている場合、カンマ区切りで複数のIPアドレスが入っていることもあるので注意


==== x-forwarded-for ====
リバースプロキシを使ったときに、クライアントのIPアドレスを取得する

リバースプロキシを使った場合、アプリ側で取得できるREMOTE_ADDRがリバースプロキシのIPアドレスになってしまう。そこでリバースプロキシで x-forwarded-for にクライアントのIPアドレスをセットしてバックエンドアプリにリクエストを転送し、アプリは x-forwarded-for を参照してクライアントのIPアドレスを得る。

Apacheのmod_proxyを使うとフォワード時に自動的にセットされる。

===== レスポンスヘッダ =====
==== X-XSS-Protection ====
ブラウザのクロスサイトスクリプトフィルタを有効にする。この防御は完璧ではないので注意

==== Strict-Transport-Security ====
これ以降、このドメインではHTTPSでのアクセスのみ行うようにブラウザに指示する

==== X-Frame-Options ====
フレーム内に表示することを許可しない設定ができる

==== X-Content-Type-Options ====
IEの場合はhtmlでないものをhtmlとして解釈させないための設定。ChromeやFirefoxの場合はscriptタグやlinkタグでJavaScript/CSSとして読みこれたときにJavaScript/CSSとして処理させないようにする。

    X-Content-Type-Options nosniff
==== X-Content-Security-Policy ====
外部スクリプトの抑制、インラインスクリプトの実行抑制、外部画像やフレーム内表示の抑制