クリックジャッキング対策をNginxのサイトにしてみた

Ubuntu + Nginxで運用しいているサイトを
Observatory by Mozillaっていうのでサイトのセキュリティを調べてみたらD+のランクだったので対応してみました

クリックジャッキング - Wikipedia
の対策ができてなかったのでそこの対応をしました

Nginxの設定を変えます

$ sudo vim /etc/nginx/conf.d/default.conf

  add_header X-Frame-Options SAMEORIGIN;                                           
  add_header X-Content-Type-Options nosniff;                                       
  add_header X-XSS-Protection "1; mode=block";                                     
  add_header Content-Security-Policy "default-src 'self' 'unsafe-eval' https:;";

Content-Security-Policy(CSP)は、httpsだったらOKにしているので、セキュリティとしては良くないです
本来なら、スクリプトの指定や、styleの指定など個別でしたほうがいいです

nginxを再起動して、再度、Observatory by Mozillaで調べてみると

Observatory by Mozilla

Aになりました

参考)
Nginxセキュリティ設定 - Qiita
Content Security Policy の利用方法 - Web セキュリティ | MDN

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください