Security Headers

Security Headersは、HTTPレスポンスヘッダを解析し、セキュリティ関連ヘッダが含まれているかどうかなどを教えてくれるサービスである。セキュリティ関連ヘッダを適切に設定することは、XSSなどの攻撃への対策となりうる。

- Security Headers

「https://arowanakaitai.com/」を対象にスキャンをかけた結果は次のとおりである。ものの見事にレスポンスヘッダが不足しており、セキュリティ意識の低いWebサイトと見なされてもしょうがない状態となっている。ちなみに、CloudFrontのIPアドレスも表示されていることが分かる。

念のためブラウザの開発者ツールで確認するも、やはりレスポンスヘッダが設定されていない。

せっかくなので、CloudFrontの勉強がてらセキュリティ関連ヘッダを設定してみる。今回は「X-Content-Type-Options」ヘッダを有効化したポリシーを作成して適用する。これにより、「Content-Type」ヘッダの情報からファイル形式を推測してしまうようなMIMEスニッフィング対策につながる。なお、Hugo + CloudFront + S3を利用して構築しているこの静的Webサイトにおいては、当該ヘッダが不足していてもおそらく大きな問題にはならない。

オリジンのオーバーライドはデフォルトのままでよいと考えられる。これにより、S3が返す設定よりもCloudFrontが返す設定が優先されるようになる。

作成したポリシーは、対象のディストリビューションのビヘイビアから設定できる。作成したポリシーを選択し、「Save changes」を押下すればよい。

設定変更後、早速Security Headersでスキャンしてみる。先ほどとは結果が異なり、「X-Content-Type-Options」が検出され、評価が「D」になっていることが分かる。

ブラウザの開発者ツールにおいても、レスポンスヘッダが増えていることが分かる。