サーバーレスポンスヘッダーの変更¶

Change server response headers ruleはサーバーレスポンスヘッダーの追加、削除および値の変更を可能にします。

このルールタイプは通常、アプリケーションセキュリティの追加レイヤを構成するために使用されます。例えば：

• あるページに対してクライアントが読み込むことを許可されたリソースを制御するContent-Security-Policyレスポンスヘッダーを追加します。これによりXSS攻撃から保護されます。

  サーバーが既定でこのヘッダーを返さない場合は、Change server response headersルールを使用して追加することを推奨します。MDN Web Docsでは、可能なヘッダー値やヘッダー使用例の説明が記載されています。

  同様に、このルールを利用してX-XSS-Protection、X-Frame-Options、X-Content-Type-Optionsのレスポンスヘッダーを追加できます。

• NGINXのヘッダーServerまたはインストール済みモジュールバージョンに関するデータを含むその他のヘッダーを変更します。これらのデータは、攻撃者によってインストール済みモジュールの脆弱性を発見され、結果として発見された脆弱性を悪用される可能性があります。

  NGINXのヘッダーServerはWallarm node 2.16以降で変更可能です。

Change server response headersルールは、その他のビジネスおよび技術的な課題に対処するためにも利用できます。

ルールの作成と適用¶

ルールを作成して適用するには：

1. Proceed to Wallarm Console:

   • Rules → Add rule or your branch → Add rule.
   • Attacks / Incidents → attack/incident → hit → Rule.
   • API Discovery (if enabled) → your endpoint → Create rule.

2. If request isで、ルールを適用するスコープをdescribeします。

3. Thenで、「Change server response headers」を選択し、以下を設定します：

   • 追加するかその値を置換するヘッダーの名前。
   • 指定されたヘッダーの新しい値。
   • 既存のレスポンスヘッダーを削除するには、Replaceタブ上でその値を空欄のままにします。

4. rule compilation to completeするのを待ちます。

例：セキュリティポリシーヘッダーとその値の追加¶

サイトのオリジンからのみhttps://example.com/*の全コンテンツを読み込ませるため、以下のようにChange server response headersルールを使用してContent-Security-Policy: default-src 'self'レスポンスヘッダーを追加できます。

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send