Apacheセキュリティ設定 - Qiita
概要 Apache の設定について共通化できるセキュリティ設定とその各項目についてまとめた。 設定例 必須設定 cat << _EOF_ > /etc/httpd/conf.d/security.conf # バージョン情報の隠蔽 ServerTokens Prod Header unset "X-Powered-By" # httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header append X-Frame-Options SAMEORIGIN # XSS対策 Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff # XST対策 TraceEnable Off <Directory /var/www/html>
PHPにおけるHTTPヘッダインジェクションはまだしぶとく生き残る
この記事はPHPアドベントカレンダー2015の3日目の記事です 。 MBSD寺田さんの記事「LWSとHTTPヘッダインジェクション」では、PHPのheader関数に関連して、PHP側のHTTPヘッダインジェクション対策を回避する手法と、それに対するPHP側の対応について書かれています。この記事では、寺田さんの記事を受けて、現在でもHTTPヘッダインジェクション攻撃が可能なPHP環境が残っているかを検証します。 HTTPヘッダインジェクションとは 以下の様なスクリプトがあるとします。 <?php header('Location: ' . $_GET['url']); オープンリダイレクタ脆弱性がありますが、それは気にしないとして、PHP5.1.1までのバージョンでは、以下の様な攻撃が可能でした。 http://example.jp/header.php?url=http://example
SwiftからObjective-Cを呼ぶ方法。CocoaPodsも。 - ぴよログ
SwiftとObjective-Cは相互に呼び合えるらしい。Objective-CからSwiftはすでに記事があった。 SwiftのコードをObjective-Cから呼んでみた - Qiita もしSwiftからObjective-Cのコードを呼べるのであれば、大抵のCocoaPodsライブラリは使い回せることになるので開発者としては大変嬉しい。せっかくなので検証にもCocoaPodsで入れたライブラリを使ってみることにした。 Swiftのプロジェクトを作る 普通に新規作成→Swiftを選んでプロジェクトを作る。なんでもいいのでSingle View Applicationあたりにしておく。 CocoaPodsでライブラリを入れる。 今回はSVProgressHUDを使うことにした。独立しているので簡単に呼び出したりしやすい。 samvermette/SVProgressHUD インストー
『PHPのheader関数を使うときのSEO的注意点』
PHPにはheader関数というとても便利な関数があります。 これは簡単に言うとHTTPヘッダー情報を送信するという機能です。 この関数を応用するとリダイレクトのようなことができます。 具体的にはindex.phpに記述しておくと、 header("Location: http://www.domain.com/index2.php") ; と記述すると、index.phpからindex2.phpを呼び出します。つまり、index2.phpへ リダイレクトされます。 ただし、このときに注意しなければいけないことは、このままだと Moved Temporaryになるということです。 SEO的に理想とされるMoved Permanentlyにするためには header("HTTP/1.0 301 Moved Permanently") ; header("Location: http://ww
PHPを利用したBasic認証の仕組み - Qiita
注意 この記事はBasic認証フローの仕組みを解説することに重点を置いており,セキュリティに関してはあまり考慮しておりません.セキュリティを考慮した実用的な実装に関しては以下をあたってください. PHPによる簡単なログイン認証いろいろ password_verifyは本当にタイミングセーフなのか? 導入 「今どきBasic認証みたいな危険なもの使うなんて…」 なんて心配はさておき、何故以下のような記述でダイアログを交えた認証フローが成り立つのか疑問に思っていました。結論からすれば大したことないんですけど、それがイメージしにくかったのでここにメモしておきます。 <?php switch (true) { case !isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']): case $_SERVER['PHP_AUTH_USER']
iframe内からWebページが読み込まれるのを防止する X-Frame-Options HTTP レスポンスヘッダ
昨日とあるところに投稿された質問で"フレーム内に表示する許可がありませんというエラーが出る"と書かれていました。 そういった設定がWebページに対して可能なのかどうか調べてみたところ、X-Frame-Options HTTP レスポンスヘッダというものを使えばコントロールできるようです。 LINK: The X-Frame-Options response header クリックジャッキング攻撃を防止するなどの目的で用意されたもののようですね。最近新しく出来たものではなく随分前からあるようです。今後使う機会もあるかもしれないので使い方を確認しておきました。 X-Frame-Optionsヘッダに設定可能な値はDENYとSAMEORIGINの2つがあります。 DENY フレーム内に表示するのを全面禁止 SAMEORIGIN 同じサイト内のページでフレームに読み込まれた場合だけ許可
スクロール途中から位置が固定されるナビゲーションを作ってみる
ある程度スクロールすると、途中から位置が固定になるコンテンツを見かけたことはありませんか? 今回はjQueryを使ってそれを作ります。 デモ1 デモ2 途中から位置が固定されるナビゲーションのデモ 1 & 2 ダウンロード 今回使うHTMLはこんな感じです。 <div id="header"> <h1>タイトル</h1> </div> <div id="container"> <div id="main">左カラム(メインコンテンツ)</div> <div id="sidebar"><!-- サイドバー --> <div id="nav">ここを固定する</div> </div> </div>#mainと#sidebarはfloat: leftしています。 これの#navが表示エリア上部から20pxの位置まで来たら位置を固定したいと思います。 position: fixedを使って固定する
nginxを用いてX-Forwarded ヘッダー付のSSL通信が行える環境を構築してみる | DevelopersIO
はじめに 本番はELBへのアクセスをHTTPS通信を行い、開発等では通常のHTTPで構築をすると言ったケースもあるかと思います。 そういった場合においてELBからアプリケーションへの転送をHTTPとして構築した場合、 アプリケーションをELB配下に持っていた際にも動く事を意識して開発を進める必要が有ります。 ただ、そういったケースにおいて、アプリケーションを実装を確認するにはどうすればよいでしょうか。 AWSを用いて環境を立ち上げるのも手ですが、 確認したいのはELB配下にHTTPで通信を待っているアプリの挙動を確認するといった際に、 ちょっと大げさな話になってしまいます。 そういったケースにおいて手元で確認したいと言った際に、以下の方法で試す事が可能です。 ELB配下のアプリケーションはELBにきたHTTPSアクセスを認識することができるのか? ELBのフロントエンドをHTTPSとしバッ
�一度Swiftを使ったら�二度とObjective Cに戻れない五つの理由 - Qiita
delegateメソッドのtypoがcompile時にすぐわかる Swiftではoverride keywordが導入されて、class methodのoverrideを明示的に示すようになった。というか、super classのmethodをoverrideするときは必ずoverrideと書かないといけない。 Objective Cでは、methodが基底クラスのoverrideなのか、それとも単にlocalで定義されているmethodなのか、コードを見ただけでは判別する手段はなかった。 optionalなdelegateを実装しているはずなのに、全然呼ばれないのでよくよく調べてみるとtypoだったという経験が必ず皆さんおありと思うが、Swiftでは基底クラスで未定義のmethodのoverrideはcompile時にerrorになるので、そんな問題はもう発生しなくなる。 コードの見通し
jQuery: ajax メソッドのヘッダーを変更する
jQuery 1.5 以降であれば headers プロパティでヘッダーを指定することができる。 $.ajax({ url: '/test', type: 'PUT', headers: { 'X-HTTP-Method-Override': 'PUT', 'Content-Type': 'application/json' }, dataType: 'json', data: '{"test": "テスト"}', }).done(function() { console.log('成功'); }); Content-Type のために contentType プロパティも用意されている。複数のヘッダーを指定する場合は、headers プロパティにまとめておいたほうが散らからずにすむだろう。 headers: { 'X-HTTP-Method-Override': 'PUT', }, co
メールのヘッダ情報の読み方 | ヘテムルブログ
今回はメールの『 ヘッダ情報 』の読み方に関してご案内いたします。 メールソフトを利用すると、メールごとに以下のようなヘッダ情報を取得することができ、 受信したメールが、どのような経路を通って送られてきたか等の情報がわかります。 ※メールソフトやメールサーバによって表示方法が異なります。 ※スパムメールの場合、ヘッダ情報が詐称されている場合もございます。 ヘッダ情報の取得方法に関しましては『各種メールソフトでのヘッダ情報の確認方法』をご確認ください。 <例: 『 hetemail 』 で表示されるヘッダー情報> 送信元メールアドレス(From) 送信先メールアドレス(To) CC、BCC 返信先のメールアドレス(Reply-To) メールが送信先に届かなかった際にエラーが返送されるメールアドレス(Return-Path) 件名(Subject) メール1通ごとにわりふられる番号(Messa
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
