Spectre の脅威とウェブサイトが設定すべきヘッダーについて

2021/11/01 499 users SPECTRE ヘッダー リソース 脅威 ドキュメント

長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Opti... 続きを読む

same-site/cross-site, same-origin/cross-originをちゃんと理解する

2021/03/29 251 users hostname Scheme ORIGIN PORT 誤解

same-site/cross-site, same-origin/cross-origin の違いを曖昧なままにしておくと、分からないことや誤解がモリモリ増えていきますので、早いうちに定義を覚えちゃいましょう。 元記事はこちら: Origin とは Origin は scheme (http とか　https とか)、hostname、port の組み合わせを指す。same-origin と言った場合、... 続きを読む