実現したいこと
webサーバのクリックジャッキング対策として、
X-Frame-Options: SAMEORIGIN
を有効にしたい
発生している問題・分からないこと
お世話になっております。
RHEL9のOSにApache(v2.4)をインストールして
構築しています。
クリックジャッキング対策を実施するため、以下の一般的な
サイトの情報に従い設定を行っております。
https://blog.future.ad.jp/apache%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%A8%AD%E5%AE%9A-x-frame-options%E3%83%98%E3%83%83%E3%83%80%E3%83%BC%E8%A8%AD%E5%AE%9A-
具体的には以下のファイルの末尾に以下の値を追加しております。
ファイル名:/etc/httpd/conf/httpd.conf
設定:X-Frame-Options SAMEORIGIN
Apacheを再起動後、外部からコマンドで確認すると
設定が反映しているように見えるのですが、
第三者がツールを使って確認すると設定が効いていない
とのことです。利用しているツールは詳細不明となっています。
■確認コマンド
$ curl -I http://www.xxxxxxx.co.jp
Server: Apache
X-Frame-Options: SAMEORIGIN
$ curl -I https://www.xxxxxxx.co.jp
HTTP/1.1 200 OK
Server: Apache
X-Frame-Options: SAMEORIGIN
ただ以下のファイルでhttpからhttpsにリダイレクト設定が入っています。
RewriteEngine On
RewriteCond %{HTTPS} off
この場合、httpd.confの記載しても有効にならない、もしくは記載する箇所が末尾ではない、
もしくは.htaccessに記載が必要である等考えられますでしょうか。
その他、考えられることがあればご教示頂けると助かります。
よろしくお願いいたします。
エラーメッセージ
error
1えらーではないためメッセージなし
該当のソースコード
特になし
試したこと・調べたこと
上記の詳細・結果
■確認コマンド
$ curl -I http://www.xxxxxxx.co.jp
Server: Apache
X-Frame-Options: SAMEORIGIN
$ curl -I https://www.xxxxxxx.co.jp
HTTP/1.1 200 OK
Server: Apache
X-Frame-Options: SAMEORIGIN
ただ以下のファイルでhttpからhttpsにリダイレクト設定が入っています。
RewriteEngine On
RewriteCond %{HTTPS} off
補足
特になし
0 コメント