[ X-XSS-Protection ]
この設定をすることで、ウエブブラウザーにXSSフィルターを、使用することを強制することができる。通常ウエブブラウザー側では、標準でXSSフィルターが有効になっているので、意図的に有効にしているユーザーに対する救済措置?
設定例
X-XSS-Protection: 0
ウエブブラウザーのXSSフィルターを無効にする。X-XSS-Protection: 1
ウエブブラウザーのXSSフィルターを有効にする。X-XSS-Protection: “1; mode=block”
ウエブブラウザのXSSフィルターを有効にする。このオプションが有効になっていると、XSS攻撃を検知した場合にウエブサイトをブラウザがレンダリングしない。
[ X-Content-Type-Option ]
この設定をするとでIEなどのブラウザのファイルタイプの自動判別機能を無効にすることができる。それによりブラウザがファイルを開く際に指定されたMIME TYPEでファイルを判別するようになる。自動判別機能の誤判定でHTMLでないファイルをHTMLとみなすなどの、コンテンツ内容の誤判定を利用したXSS攻撃を防ぐことができる。
設定例
Header set X-Content-Type-Options: nosniff
これらの設定は、少しだけセキュリティレベルが向上するがしないほうがしたほうがましだというレベルなので、これらの設定をしたうえで、WEBアプリケーションの脆弱性を減らすことやWAFなどを導入して防御をすることを考えなければならない。
脆弱性診断を、専門の業者に委託をすると結構なお金がとられるので頻繁にはやることができないので。プログラムの開発のプロセスで開発者自らが脆弱性診断をすることも考えたほうがいいかも。
下記の本で解説されていたOSWASP ZAPというソフトがなかなか使えた。専門の業者の脆弱性診断には劣るけれども、最近は情報漏洩とかが話題にあがることが多いので、ツールで機械的に探せる脆弱性ぐらいは潰しておかないとまずいと思う。