分野：テクノロジ系
中分類：ネットワーク
小分類：ネットワーク応用

HSTS(HTTP Strict Transport Security)は、WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。
WebサイトをHTTPS化した際には 301 HTTP リダイレクトを使用して、HTTPのアドレスにアクセスした利用者をHTTPSページに転送する設定を行うのが一般的ですが、"http://～"のURLで登録しているブックマークからアクセスする場合などは、最初のHTTPアクセスが暗号化されていないため、HTTPSページへのリダイレクト前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性が残されています。

HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でも、Webブラウザが自動的にHTTPSページを取得しに行くようになるため、セキュリティを高めることができます。

したがって Strict-Transport-Security ヘッダが適切です。

• Content-Security-Policyは、Webサイトで外部読み込みを許可するリソースの種類とドメインを指定するHTTPヘッダです。意図しないドメインからスクリプト等が読み込まれることを防止できるため、XSSやクリックジャッキング攻撃の影響を軽減できます。
  
  //スクリプトの読み込み先を自ドメインと https://apis.google.com ドメインに限定
  Content-Security-Policy: script-src 'self' https://apis.google.com
• 正しい。
• X-Content-Type-Optionsは、ブラウザがコンテンツの種類を決定する動作を制御するHTTPヘッダです。MIMEタイプを無視してコンテンツの中身をみて決定したり、逆にMIMEタイプだけでコンテンツの種類を決定したりするなどの指定ができます。一部の古いブラウザで、コンテンツの内容だけで判断することによりXSS攻撃を受けるリスクを低減できます。
  
  //コンテンツの内容を無視してMIMEタイプだけ決定する
  X-Content-Type-Options: nosniff
• X-XSS-Protectionは、XSS攻撃を検知したときにページの読み込みを停止するHTTPヘッダです。
  
  //有効化。ブラウザの既定値です。
  X-XSS-Protection: 1