適用対象: ✔️ Front Door Standard ✔️ Front Door Premium
この記事では、HTTP Strict-Transport-Security (HSTS)、X-XSS-Protection、Content-Security-Policy、X-Frame-Options など、ブラウザーベースの脆弱性を防ぐためにセキュリティ ヘッダーを実装する方法について説明します。 セキュリティベースの属性は、Cookie でも定義できます。
次の例では、ルート内のパスに一致するすべての着信要求に Content-Security-Policy ヘッダーを追加する方法を示します。 ここでは、信頼できるサイト https://contoso.azure-api.net からのスクリプトにのみ、アプリケーション上での実行を許可します。
前提条件
Azure Front Door。 詳細については、「クイック スタート: Front Door の作成」を参照してください。
ルール セット機能を初めて使用する場合は、 ルール セットを設定 する方法を確認します。
Azure portal で Content-Security-Policy ヘッダーを追加する
Azure Front Door Standard または Premium のプロファイルにアクセスし、 [設定] で [ルール セット] を選択します。
[追加] を選択して新しいルール セットを追加します。 ルール セットに名前を付け、ルールの名前を指定します。 [アクションの追加] を選択し、 [応答ヘッダー] を選択します。
演算子を Append に設定して、このヘッダーを、このルートのすべての着信要求への応答として追加します。
ヘッダー名として「Content-Security-Policy」を追加し、このヘッダーで受け入れる値を定義します。 このシナリオでは、
"script-src 'self' https://contoso.azure-api.net"を選択します。構成に必要なすべてのルールを追加したら、規則セットをルートに関連付ける必要があります。 この手順は、ルール セットがアクションを実行するために 必要 です。
注
このシナリオでは、 一致条件 をルールに追加しませんでした。 関連付けられたルートで定義されているパスに一致するすべての受信要求には、この規則が適用されます。 これらの要求のサブセットにのみ適用するには、特定の 一致条件 をこのルールに追加します。
重要
Azure Front Door で Web アプリケーション ファイアウォール (WAF) を使用していて、要求をブロックしている場合、HSTS ヘッダーは、Azure Front Door で有効になっている場合でも、要求に追加されません。
リソースをクリーンアップする
規則の削除
前の手順では、ルール セットを使用して Content-Security-Policy ヘッダーを構成しました。 ルールが不要になった場合は、ルール セット を選択し、[ ルールの削除] を選択できます。
ルール セットの削除
ルール セットを削除する場合は、削除の前に、すべてのルートから関連付けを解除してください。 ルール セットの削除に関する詳細なガイダンスについては、「 Azure Front Door でルール セットを構成する」を参照してください。
次のステップ
Front Door の Web アプリケーション ファイアウォールを構成する方法については、次を参照してください。