[1] X-Content-Type-Options
内容からのコンテントタイプの推測しないX-Content-Type-Options: nosniff
参考文献
MSDNhttps://msdn.microsoft.com/ja-jp/library/gg622941.aspx
その他一般サイト
http://d.hatena.ne.jp/hasegawayosuke/20110106/p1
http://d.hatena.ne.jp/hasegawayosuke/20130517/p1
http://blog.tokumaru.org/2013/05/JSON-information-disclosure-vulnerability-CVE-2013-1297.html
http://www.checksite.jp/x-content-type-options-nosniff/
http://www.atmarkit.co.jp/ait/articles/0903/30/news118.html
[2] X-XSS-Protection
ブラウザ側でXSSを検知した場合は、ブロックするX-XSS-Protection: 1; mode=block
参考文献
http://nightyknight.hatenablog.com/entry/2012/07/17/015531[3] X-Frame-Options
全てのドメインで iframe の表示を全面禁止X-Frame-Options: DENY同じドメインのサイトなら iframe の表示が可能
X-Frame-Options: SAMEORIGIN
参考文献
http://www.techscore.com/blog/2015/03/05/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%82%AE%E3%83%B3%E3%82%B0%E3%81%A3%E3%81%A6%EF%BC%9F/http://www.websec-room.com/2013/02/20/98
http://buzzwordjp.blogspot.jp/2011/09/iframe-x-frame-options-http.html
[4] Content-Security-Policy (CSP)
個人的な見解だが、制約が強くてちょっと実装がやりづらくなりそうContent-Security-Policy: default-src 'self'
説明
以下を禁止 * インラインJavaScript(<script type="text/javascript">・・・</script>) * イベント属性(onclick="xxx()"/<a href="javascript:xxx()">など)での実行
目的
* XSS対策 * クリックジャッキング対策
参考文献
http://blog.hash-c.co.jp/2013/12/Content-Security-Policy-CSP.htmlhttps://blog.mono0x.net/blog/2012/03/15/content-security-policy/
[5] Strict-Transport-Security
強制的にHTTPSへリダイレクトし、以降HTTPSで接続させるStrict-Transport-Security: max-age=【有効期間[秒]】;includeSubDomains
参考文献
http://qiita.com/takoratta/items/fb6b3486257eb7b9f12ehttps://developer.mozilla.org/ja/docs/Web/Security/HTTP_Strict_Transport_Security
参考文献
http://d.hatena.ne.jp/sen-u/20131130/p1http://d.hatena.ne.jp/hasegawayosuke/20110107/p1
http://www.pupha.net/archives/2942/
https://devcentral.f5.com/articles/7http
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/705.html