デフォルトだとレスポンスヘッダーに Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block がついていることを確認。 こ…
20.2.3 DelegatingRequestMatcherHeaderWriter At times you may want to only write a header for certain requests. ときどき、あなたは一定のリクエストでだけヘッダーを書きたいと思うことでしょう。 For example, perhaps you want to only protect you…
20.2.2 Headers Writer When the namespace or Java configuration does not support the headers you want, you can create a custom HeadersWriter instance or even provide a custom implementation of the HeadersWriter. namespace か Java Configurat…
20.2 Custom Headers Spring Security has mechanisms to make it convenient to add the more common security headers to your application. Spring Security はより共通のセキュリティヘッダーをアプリケーションに追加することを便利にするメカニズムを…
20.1.8 Referrer Policy Referrer Policy is a mechanism that web applications can leverage to manage the referrer field, which contains the last page the user was on. Referer ポリシーは Web アプリケーションがユーザーが最後にアクセスしていた…
20.1.7 Content Security Policy (CSP) Content Security Policy (CSP) is a mechanism that web applications can leverage to mitigate content injection vulnerabilities, such as cross-site scripting (XSS). Content Security Policy は、 Web アプリ…
正しさの保証なんてものは(ry 20.1.6 X-XSS-Protection Some browsers have built in support for filtering out reflected XSS attacks. いくつかのブラウザは Refrected XSS 攻撃を回避する組み込みのサポートを持っています。 ※Referected XSS 攻撃 反…
正しさの保証なんてものはない。 ※印で始まる文章は本文にはない、私個人の感想やコメント・注釈です。 20.1.5 X-Frame-Options Allowing your website to be added to a frame can be a security issue. Web サイトをフレームに追加できることを許可すると…
JJUG CCC 2016 Fall で JPA について話してきました。 懇親会やTL上でアウトプット重要という言葉を何度も目にし耳にし、色んな人がハイレベルな感想とかを上げていらっしゃるのを見てて、「僕もせな」と思い、発表に至った経緯(想い)について書いてみるこ…