CORS(Cross-Origin Resource Sharing)がわからない
OWASPでCross-Domain Misconfigurationの警告が出たのですが、対策がよくわからなかったので調べました。 CORS(オリジン間リソース共有)とは HTTPヘッダーを利用して、あるオリジンで動い […]
サーバー・インフラ
XSS
AWS, サーバー・インフラ
AWS WAFでOWASP Top 10の対応
AWS WAFを導入したのでその記録です。 運用コストを考えると、自力でがんばるのはしんどいので、AWSのOWASP10テンプレートを利用しました。 CloudFormationのテンプレートをダウンロード まずはじめに
サーバー・インフラ, システム開発, テクノロジー
ApacheでContent Security Policy(CSP)を設定する
先日、脆弱性検査ツールで以下のレポートが出力されました。 Content-Security-Policyの欠落 対策したときに最初よくわからず時間がかかったので、まとめます。 CSPの概要 ブラウザに対してサーバのポリシ