特徴
- HSTS(HTTP Strict-Transport-Security)は、HTTPレスポンスヘッダフィールドの一つで、WebサイトがWebブラウザに対して、指定された期間において、当該Webサイトへのアクセスをhttpsで行うように指示するもの。
- 例えば、指定期間として365日とする場合
Strict-Transport-Security:max-age=31536000 - HTTPは暗号化されていないため、セキュリティ強化のためにHTTPSを利用する。
HTTPS化しているWebサイトにHTTPでアクセスされた場合は、HTTPリダイレクトを使用してアクセス先を振り向けるのが一般的だが、最初のHTTPアクセスが暗号化されていないことによるセキュリティ上の脆弱性が残る。
それに対しHSTSでは、Webブラウザに対しレスポンダヘッダでHSTSを通知することで、Webブラウザはリダイレクトと同時に、この情報を記録する。以降、指定された期間、このWebサイトへはHTTPSでアクセスする。
過去問
平成30年度秋期ネットワークスペシャリスト試験
【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午前2 問18(一部、加工あり)】
WebサイトがWebブラウザに対して、指定された期間において、当該Webサイトへのアクセスをhttpsで行うように指示するHTTPレスポンスヘッダフィールドはどれか。
- Content-Security-Policy
→Webサイトで読込みを許可するリソースの種類とドメインを指定するものです。不正なドメインからのスクリプト等を読み込むことを防止できます。 - Strict-Transport-Security
→正解。 - X-Content-Type-Options
→Webブラウザが使用するコンテンツの種類を制御するものです。コンテンツの内容だけで動作を決定してしまい、XSS(Cross Site Scripting)攻撃など受け入れてしまうリスクを軽減できます。 - X-XSS-Protection
→WebブラウザでXSSフィルタ機能を有効にするよう制御するものです。