Shifterでは、システムの安全性を高め、お客様に安心してご利用いただくため、セキュリティに関連するレスポンスヘッダを新たに追加・更新しました。以下の設定を追加することでブラウザ側でのセキュリティ制御を強化しました。
- Content-Security-Policy (CSP): 信頼できるソースからのコンテンツ実行のみを許可し、クロスサイトスクリプティング(XSS)等の攻撃リスクを低減します。
- Referrer-Policy: 外部サイトへの遷移時に送信される参照元情報の範囲を制限し、プライバシー保護を強化します。
- X-Content-Type-Options: ブラウザによるMIMEタイプの誤認を防ぎ、悪意のあるファイルの実行を防止します。
- Strict-Transport-Security (HSTS): ブラウザに対してHTTPSでの接続を強制し、通信の安全性を確保します。
- Cross-Origin 関連ポリシー: 異なるオリジン間でのリソース共有やウィンドウ操作の制御を適正化しました。
付与されているセキュリティヘッダの設定内容
content-security-policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https:; style-src 'self' 'unsafe-inline' https:; font-src 'self' data: https:; frame-src 'self' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors *;
referrer-policy: strict-origin-when-cross-origin
x-content-type-options: nosniff
strict-transport-security: max-age=600
cross-origin-embedder-policy: unsafe-none
cross-origin-opener-policy: same-origin-allow-popups
cross-origin-resource-policy: cross-origin