intra-mart Accel Platform セットアップガイド 第25版 2018-08-01

5.3.3.1. レスポンスヘッダ設定

Webモジュールが提供するレスポンスヘッダ設定です。
intra-mart Accel Platform に対してリクエストを送信した際のレスポンスに任意のヘッダを追加する設定です。
レスポンスヘッダ設定の詳細は、「 設定ファイルリファレンス 」-「 レスポンスヘッダ設定 」を参照してください。

注意

レスポンスヘッダに依存する処理が存在する場合、設定を追加することでアプリケーションが正常に動作しない可能性があります。
レスポンスヘッダを変更する際には、十分な検証の上で適用してください。

5.3.3.1.1. 設定ファイルの変更方法

レスポンスヘッダ設定は、初期状態では、IM-Juggling プロジェクトに存在しません。
レスポンスヘッダ設定を変更するには IM-Juggling の「設定ファイル」タブから設定ファイルの出力を実施してください。
「Webモジュール」-「レスポンスヘッダ設定 (response-header-config/default.xml)」を選択して「出力」をクリックすることで 「ProjectNavigator」内の <(プロジェクト名)/conf/response-header-config/default.xml> ファイルが出力されます。
../../_images/response_header_01.png

5.3.3.1.2. intra-mart Accel Platform が推奨する設定

5.3.3.1.2.1. X-Content-Type-Options

一部のブラウザでは、Webサーバが返すレスポンスの内容からMIMEタイプを自動判別を行います。
自動判別が行われることによりHTMLではない内容がHTMLとして扱われてしまい、XSS(Cross Site Scripting)を誘発してしまうことがあります。
以下のレスポンスヘッダを付与することにより、ブラウザによるMIMEタイプの自動判別を抑制することが可能です。
X-Content-Type-Options: nosniff
このレスポンスヘッダを常に付与するために「レスポンスヘッダ設定」に以下の「静的なヘッダー指定」設定を追加します。
この設定は初期状態でコメントアウトされています。設定を有効にするためにコメントを解除してください。
<static-response-hader name="X-Content-Type-Options" value="nosniff" />

コラム

2016 Spring(Maxima) より、上記レスポンスヘッダ「X-Content-Type-Options: nosniff」を設定した状態で各機能の検証を行っています。

注意

2015 Winter(Lydia) 以前のバージョンをご利用の場合、以下の不具合により本設定を行うと一部の機能が動作しなくなることが確認されています。
そのため 2015 Winter(Lydia) 以前のバージョンをご利用の場合は本設定を行わないでください。