平成30年 秋期 ネットワークスペシャリスト 午前II 問18

WebサイトがWebブラウザに対して、指定された期間において、当該Webサイトへのアクセスをhttpsで行うように指示するHTTPSレスポンスヘッダフィールはどれか。

 ア  Content-Security-Policy  イ  Strict-Transport-Security
 ウ  X-Content-Type-Options  エ  X-XSS-Protection


答え イ


解説

 ア  Content-Security-Policyは、クロスサイトスクリプティング (XSS)やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。
 イ  Strict-Transport-Securityは、WebサイトがWebブラウザに対して、指定された期間において、当該Webサイトへのアクセスをhttpsで行うように指示するHTTPSレスポンスヘッダフィールです。
 ウ  X-Content-Type-Optionsは、WebブラウザがWebサーバからのHTTPレスポンス全体を検査(sniffing)するかどうかを指定するものです。
 エ  X-XSS-Protectionは、クロスサイトスクリプティング(XSS)に対するフィルタ機能を強制的に有効にするものです。


キーワード
・HSTS

キーワードの解説
  • HSTS(HTTP Strict Transport Security)
    HTTPで接続したWebブラウザに対して、Webサーバーが現在接続しているドメインに対するアクセスにおいて、次回以降HTTPの代わりにHTTPSを使うように伝達する仕組みです。

もっと、「HSTS」について調べてみよう。

戻る 一覧へ 次へ