プロキシなどを通してアクセスしている場合、カンマ区切りで複数のIPアドレスが入っていることもあるので注意

リバースプロキシを使っているとアプリ側のREMOTE_ADDRがリバースプロキシのIPアドレスになってしまうので、x-forwarded-forにクライアントのIPアドレスをセットしておくことが多い。Apacheのmod_proxyを使うとフォワード時にセットされる。

ブラウザのクロスサイトスクリプトフィルタを有効にする。この防御は完璧ではないので注意

これ以降、このドメインではHTTPSでのアクセスのみ行うようにブラウザに指示する

フレーム内に表示することを許可しない設定ができる

IEの場合はhtmlでないものをhtmlとして解釈させないための設定。ChromeやFirefoxの場合はscriptタグやlinkタグでJavaScript/CSSとして読みこれたときにJavaScript/CSSとして処理させないようにする。

  X-Content-Type-Options nosniff

外部スクリプトの抑制、インラインスクリプトの実行抑制、外部画像やフレーム内表示の抑制