テクノロジー アパッチHTTP 非公開: Apache の HttpOnly および Secure フラグを使用したセキュア Cookie

Apache の HttpOnly および Secure フラグを使用したセキュア Cookie

HTTPOnly および Secure を使用して Cookie HTTP ヘッダー フラグを実装し、XSS 攻撃から Web サイトを保護します

Cookie で HttpOnly Secure フラグを使用すると、最も一般的な XSS 攻撃 を軽減できることをご存知ですか?

XSSは 危険です。日々増加する XSS 攻撃を確認することで、Web アプリケーションのセキュリティを考慮する必要があります。

HTTP 応答ヘッダーに HttpOnly および Secure フラグがないと、Web アプリケーションのセッションと Cookie を盗んだり操作したりすることが可能になります。

これはアプリケーション コード内で管理する方が良いでしょう。しかし、開発者が気づいていないため、Web サーバー管理者に問題が発生します。

これらをコードレベルで設定する方法については説明しません。 ここを 参照できます。

Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
コンテンツ 表示

Apacheでの実装手順

  • Apache HTTP サーバーで mod_headers.so 有効になっていることを確認してください
  • httpd.conf に次のエントリを追加します 
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  • Apache HTTP サーバーを再起動してテストします

: ヘッダー編集は、 Apache 2.2.4 より前のバージョン とは互換性がありません。

以下を使用して、2.2.4 より前のバージョンで HttpOnly および Secure フラグを設定できます。この情報を共有してくれた Ytse に感謝します。 

 Header set Set-Cookie HttpOnly;Secure
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie

検証

ブラウザーに組み込まれた開発者ツールを活用して応答ヘッダーを確認するか、オンライン ツールを使用することができます。

役に立ちましたか?

これは、Apache で行う多くの強化処理の 1 つです。

Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie

「 Apache の HttpOnly および Secure フラグを使用したセキュア Cookie」についてわかりやすく解説!絶対に観るべきベスト2動画

bWAPP (bee-box) – Cookies HTTPonly & Secure | Cookies 屬性 | bWAPP 教學 | bWAPP tutorials
https://www.youtube-nocookie.com/watch?v=UB1sva_i6ls&pp=ygVXIEFwYWNoZSDjga4gSHR0cE9ubHkg44GK44KI44GzIFNlY3VyZSDjg5Xjg6njgrDjgpLkvb_nlKjjgZfjgZ_jgrvjgq3jg6XjgqIgQ29va2llJmhsPUpB
Apache Secure チュートリアル: HTTP ヘッダーを非表示にし、ディレクトリのリストを無効にする
https://www.youtube-nocookie.com/watch?v=fEeRjLbRARE&pp=ugMICgJqYRABGAHKBVcgQXBhY2hlIOOBriBIdHRwT25seSDjgYrjgojjgbMgU2VjdXJlIOODleODqeOCsOOCkuS9v-eUqOOBl-OBn-OCu-OCreODpeOCoiBDb29raWUmaGw9SkE%3D

HTTPOnly および Secure を使用して Cookie HTTP ヘッダー フラグを実装し、XSS 攻撃から Web サイトを保護します

Cookie で HttpOnly Secure フラグを使用すると、最も一般的な XSS 攻撃 を軽減できることをご存知ですか?

XSSは 危険です。日々増加する XSS 攻撃を確認することで、Web アプリケーションのセキュリティを考慮する必要があります。

HTTP 応答ヘッダーに HttpOnly および Secure フラグがないと、Web アプリケーションのセッションと Cookie を盗んだり操作したりすることが可能になります。

これはアプリケーション コード内で管理する方が良いでしょう。しかし、開発者が気づいていないため、Web サーバー管理者に問題が発生します。

これらをコードレベルで設定する方法については説明しません。 ここを 参照できます。

Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
コンテンツ 表示

Apacheでの実装手順

  • Apache HTTP サーバーで mod_headers.so 有効になっていることを確認してください
  • httpd.conf に次のエントリを追加します 
Header always edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  • Apache HTTP サーバーを再起動してテストします

: ヘッダー編集は、 Apache 2.2.4 より前のバージョン とは互換性がありません。

以下を使用して、2.2.4 より前のバージョンで HttpOnly および Secure フラグを設定できます。この情報を共有してくれた Ytse に感謝します。 

 Header set Set-Cookie HttpOnly;Secure
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie

検証

ブラウザーに組み込まれた開発者ツールを活用して応答ヘッダーを確認するか、オンライン ツールを使用することができます。

役に立ちましたか?

これは、Apache で行う多くの強化処理の 1 つです。

Apache の HttpOnly および Secure フラグを使用したセキュア Cookie
Apache の HttpOnly および Secure フラグを使用したセキュア Cookie

「 Apache の HttpOnly および Secure フラグを使用したセキュア Cookie」についてわかりやすく解説!絶対に観るべきベスト2動画

bWAPP (bee-box) – Cookies HTTPonly & Secure | Cookies 屬性 | bWAPP 教學 | bWAPP tutorials
https://www.youtube-nocookie.com/watch?v=UB1sva_i6ls&pp=ygVXIEFwYWNoZSDjga4gSHR0cE9ubHkg44GK44KI44GzIFNlY3VyZSDjg5Xjg6njgrDjgpLkvb_nlKjjgZfjgZ_jgrvjgq3jg6XjgqIgQ29va2llJmhsPUpB
Apache Secure チュートリアル: HTTP ヘッダーを非表示にし、ディレクトリのリストを無効にする
https://www.youtube-nocookie.com/watch?v=fEeRjLbRARE&pp=ugMICgJqYRABGAHKBVcgQXBhY2hlIOOBriBIdHRwT25seSDjgYrjgojjgbMgU2VjdXJlIOODleODqeOCsOOCkuS9v-eUqOOBl-OBn-OCu-OCreODpeOCoiBDb29raWUmaGw9SkE%3D

最新記事一覧

関連記事一覧