質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.35%

  • PHP

    15166questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    6166questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

  • セキュリティー

    364questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHPのheader()によるセキュリティ対策

解決済

回答 4

投稿 2017/12/01 00:40

  • 評価
  • クリップ 2
  • VIEW 162

gsuisk

score 58

入門書などで、セキュリティ対策として以下のようなheaderを冒頭に書いてあるのを見ます。

//レスポンスの文字エンコーディングを指定
header('Content-Type: text/html; charset=UTF-8');
//クリックジャッキング対策
header('X-FRAME-OPTIONS', 'SAMEORIGIN');

またはクリックジャッキング対策としてHTMLに記述。

<meta http-equiv="X-FRAME-OPTIONS" content="SAMEORIGIN">

これらは基本的にどのPHPファイル(HTMLを返しutf-8である前提)に書いておいても問題はないですか?保険的なセキュリティ対策として有効でしょうか?

また、他にheader()等で保険的にセキュリティ対策できるものがあれば教えていただきたいです。

よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • umyu

    2017/12/01 07:55

    OWASPによれば、metaタグによるX-FRAME-OPTIONSは動作しないとの事です。https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#X-Frame-Options_Header_Types

    キャンセル

  • gsuisk

    2017/12/02 00:39

    そうなんですね。教えていただきありがとうございます。

    キャンセル

回答 4

checkベストアンサー

+5

Content-Typeに文字エンコーディング指定も大切ですが、結果としてセキュリティにも利いてくるということであって、元々はコンテンツの文字エンコーディングを明示することにより、文字化けなくコンテンツが表示できるようにするということですね。
以下は、セキュリティが主目的のレスポンスヘッダで、かつ、指定することによる悪影響があまりないものです。これらは、Apacheやnginxの設定により必ず出力しておくとよいでしょう。最近の脆弱性診断ツールは、これらがないことだけで、脆弱性指摘するものが増えてきました。

X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block

metaタグによるx-frame-options指定は、コメントにあるようにまったく無意味です。古いバージョンのGoogle Chromeでは有効でしたが、Google Chromeも最近のバージョンではmetaタグによるx-frame-optionsは無視します。

これらは基本的にどのPHPファイル(HTMLを返しutf-8である前提)に書いておいても問題はないですか?

はい。しかし、前述のように、Apacheやnginxの設定で出した方が簡単で、漏れる心配もありません。

保険的なセキュリティ対策として有効でしょうか?

はい。
厳密に言うと、x-frame-optionsはクリックジャッキングの根本的解決策であって、保険的なものではありません…が、「保険的以上の意味がある」ということですね。他の2つはXSSに対する保険的対策ですが、XSS対策はきちんと実施することが前提です。レスポンスヘッダだけでXSSが防げるわけではありません。

投稿 2017/12/01 16:45

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/02 00:37

    Apacheを使用しているのでhttpd.confで対策を施すのがベストなのですね。念のためサーバーの設定とphpファイルの両方でレスポンスヘッダを設定しておこうと思います。

    その他のレスポンスヘッダも参考になりました。

    ありがとうございました。

    キャンセル

+4

どのような意味を持つものかを理解したうえで利用されるのであれば、
全てのHTML出力にヘッダとして付与することは問題ないものと思います。
その場合、ApacheやNginx等でヘッダを付与したほうが漏れが無く確実です。
いちいちPHPに書く必要はありません。

他に付与を検討するヘッダーとしては、X-XSS-Protectionなどが考えられます。

投稿 2017/12/01 07:07

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/02 00:31

    サーバーの設定で対策するのが良いのですね。
    ありがとうございます。

    キャンセル

+3

面白そうだったので調べてみました。
F5 のサイトに良さげなまとめが^^
セキュリティを強化する7つの便利なHTTPヘッダ 

php でページを作るのであれば、フレーム表示は考慮しなくて良い気がします。
その場合 X-Frame-Options は DENY で。

投稿 2017/12/01 23:17

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/02 00:39

    ヘッダがまとめてあるサイトを教えていただきありがとうございます。
    是非参考にさせていただきます。

    キャンセル

+1

phpでの対応→php出力のみ対象。
ApacheやNginx等での対応→php以外の静的コンテンツ(html,js,css,その他)も含めて対象。
という違い。

投稿 2017/12/01 10:58

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

91.35%

関連した質問

同じタグがついた質問を見る

  • PHP

    15166questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    6166questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

  • セキュリティー

    364questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。