セキュリティヘッダの設定でXSS攻撃を防ぐ!

先日より何度か案内しているホームページのセキュリティー対策ですが、具体的な攻撃に対する防御策をもとに説明してみたいと思います。

UnsplashMarkus Spiskeが撮影した写真

XSS攻撃を防ぐ

XSS攻撃とは

ホームページの脆弱性を突いて、HTML(ページを作っているコード)に悪意のある良からぬコードを埋め込む攻撃です。
悪意のあるコードが実行されると別のホームページへ移動させられてさらに悪意のあるコードが実行されて、個人情報の抜き取りやマルウェア感染などが起こってしまいます。

ホームページを見ているユーザからすると、いつも通りにページを見ているだけで何気なくリンクをクリックしただけなのに、いつの間にか攻撃を受けて、個人情報を抜き取られたり、マルウェアに感染したりしてしまいます。
ユーザ側で変なサイトに誘導されないように気をつけていたとしても、ホームページ側で対策が行われてなければ、上記のような被害が発生してしまう可能性があります。

なので、ホームページ側でのセキュリティ対策を予めしっかりと行なっておくことが重要です。

ヘッダセキュリティでセキュリティ対策を

こういった攻撃を受けないようにするためには、いくつかの方法があります。
悪意ある行動が実行されないように無害化する処理を行ったり、 入力時に制限を行ったり、WAFというWebアプリケーションのファイアーウォールを導入したりすることで対策可能です。

これらの対策の中でも、費用を抑えて導入時間もそれほどかからずに実施できるヘッダーセキュリティ対策がおすすめです。

Content Security PolicyやX-XSS-Protection(古いブラウザ向け)を適切に設定することで、ホームページのセキュリティを高めてXSS攻撃が実行されないようにすることができます。

見た目だけがキレイなホームページをただ作るだけの時代は終わりです。訪問者が安心して利用できる環境作りも必須になっています。
ホームページを新規に作成する際や、現在のホームページをリニューアルするときはセキュリティー対策も同時にご検討することを強くお勧めします。

当社では、ホームページ制作やホームページリニューアル時には、セキュリティヘッダを最適化するサービスも同時に実施しています。

セキュリティヘッダ設定サービス
https://www.ryu-raku.co.jp/webdesign/securityheaders.html

安全な環境を重視されたい方はいつでもご相談ください。