Headers for security

[shimoju]

導入するだけでセキュリティ向上効果があるヘッダ、

X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block

の3つを導入する

• 今夜つける HTTPレスポンスヘッダー （セキュリティ編） - うさぎ文学日記
• https://github.com/h5bp/server-configs-nginx/blob/master/h5bp/directive-only/extra-security.conf

[shimoju]

https://github.com/shimoju/wordpress-heroku/commit/17bfcb889119ddd7e4885626f1ef940ca6c6abcc https://github.com/shimoju/wordpress-heroku/commit/997852b3d6f67343606808ace7bdc760fc3e6713

X-Frame-Options: SAMEORIGINはwp-login/wp-adminページではPHP側でもつけられているため重複してしまう とりあえずX-Frame-Optionsはコメントアウトした

重複させないようにする方法としては、wp-login/wp-adminのときだけX-Frame-Optionsを外すというのが考えられる。が、既にログインページにはついてるわけだし優先度は低め