--- title: ウェブセキュリティ slug: Web/Security tags: - Landing - Security - Web - セキュリティ translation_of: Web/Security ---
ウェブサイトや公開ウェブアプリケーションが安全であることを保証するのは重要なことです。コードの中の単純なバグが、個人情報の漏洩という結果を招くことがありますし、データを盗む方法を見つけようとしている悪い輩があちこちにいます。以下に紹介するセキュリティ方面の記事では、コードの安全性を確保する際に助けとなる情報を提供しています。
Strict-Transport-Security:
は HTTP のヘッダーで、ウェブサイトを HTTPS を使用してのみアクセスできるようにするものです。Window
、または Worker
のことです。多くの Web API が安全なコンテキストでのみ利用可能です。安全なコンテキストの主目的は、{{interwiki("wikipedia", "中間者攻撃", "中間者攻撃者")}}が被害者に更なる危険にさらす可能性がある強力な API にアクセスするのを防ぐことにあります。Window
オブジェクトの {{domxref("Window.localStorage")}} プロパティは、サーバーがクライアントにセッションを通して存在するデータを格納する一つの手段です。Access-Control-Allow-Origin
レスポンスヘッダーは、指定された{{glossary("origin", "オリジン")}}からのリクエストを行うコードでレスポンスが共有できるかどうかを示します。X-Content-Type-Options
は HTTP のレスポンスヘッダーで、{{HTTPHeader("Content-Type")}} ヘッダーで示された MIME タイプを変更せずに従うべきであることを示すために、サーバーによって使用されるマーカーです。これにより、MIME タイプのスニッフィングを抑止することができます。すなわち、Web マスターが自分が何をしているかを分かっていると言う手段です。
クリックジャッキングでは、ユーザーがだまされて、ユーザーが期待するもの以外のアクションを実行するUI要素をクリックします。
X-Frame-Options
HTTP レスポンスヘッダーを使用して、ブラウザーが <frame>
, <iframe>
, <embed>
または <object>
でページをレンダリングできるかどうかを示すことができます。サイトはこれを使用してコンテンツが他のサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます。frame-ancestors
ディレクティブは、 {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, または {{HTMLElement("applet")}} を使用して、ページを埋め込むことができる有効な親を指定します。{{Glossary("Block cipher mode of operation")}}
{{Glossary("Certificate authority")}}
{{Glossary("challenge", "Challenge-response authentication")}}
{{Glossary("Cipher")}}
{{Glossary("Cipher suite")}}
{{Glossary("Ciphertext")}}
{{Glossary("CORS")}}
{{Glossary("CORS-safelisted request header")}}
{{Glossary("CORS-safelisted response header")}}
{{Glossary("Cross-site scripting")}}
{{Glossary("Cryptanalysis")}}
{{Glossary("Cryptographic hash function")}}
{{Glossary("Cryptography")}}
{{Glossary("CSP")}}
{{Glossary("CSRF")}}
{{Glossary("Decryption")}}
{{Glossary("Digital certificate")}}
{{Glossary("DTLS")}}
{{Glossary("Encryption")}}
{{Glossary("Forbidden header name")}}
{{Glossary("Forbidden response header name")}}
{{Glossary("Hash")}}
{{Glossary("HMAC")}}
{{Glossary("HPKP")}}
{{Glossary("HSTS")}}
{{Glossary("HTTPS")}}
{{Glossary("Key")}}
{{Glossary("MitM")}}
{{Glossary("OWASP")}}
{{Glossary("Preflight request")}}
{{Glossary("Public-key cryptography")}}
{{Glossary("Reporting directive")}}
{{Glossary("Robots.txt")}}
{{Glossary("Same-origin policy")}}
{{Glossary("Session hijacking")}}
{{Glossary("SQL injection")}}
{{Glossary("Symmetric-key cryptography")}}
{{Glossary("TOFU")}}
{{Glossary("TLS")}}
{{QuickLinksWithSubpages}}