CORS(Cross-Origin Resource Sharing)がわからない
OWASPでCross-Domain Misconfigurationの警告が出たのですが、対策がよくわからなかったので調べました。 CORS(オリジン間リソース共有)とは HTTPヘッダーを利用して、あるオリジンで動い […]
CORS(Cross-Origin Resource Sharing)がわからない 続きを読む »
XSS
AWS WAFでOWASP Top 10の対応
AWS WAFを導入したのでその記録です。 運用コストを考えると、自力でがんばるのはしんどいので、AWSのOWASP10テンプレートを利用しました。 CloudFormationのテンプレートをダウンロード まずはじめに
AWS WAFでOWASP Top 10の対応 続きを読む »
ApacheでContent Security Policy(CSP)を設定する
先日、脆弱性検査ツールで以下のレポートが出力されました。 Content-Security-Policyの欠落 対策したときに最初よくわからず時間がかかったので、まとめます。 CSPの概要 ブラウザに対してサーバのポリシ
ApacheでContent Security Policy(CSP)を設定する 続きを読む »
