問題
- 以下のヘッダーがLiferayにはありません。
- X-Content-Type-Options" ヘッダ
- ”X-XSS Protection”ヘッダ
- X-Frame-Options "ヘッダ
- Content-Security-Policy "ヘッダ
- Strict-Transport-Security "ヘッダ
- cross-origin resource sharing(CORS)
- P”Public-Key-Pins” ヘッダ
環境
- Liferay DXP 7.0-7.3
解決
-
以下のヘッダーは、リクエストのいずれかを検査するときにデフォルトで使用可能です。
- "X-Content-Type-Options" ヘッダ
- "X-XSSProtection" ヘッダ
-
"X-Frame-Options" ヘッダ
-
残りのヘッダについて
- "Content-Security-Policy" ヘッダ:Liferay Portalは、CSPディレクティブを設定するための設定/UIがないという意味で、CSPを直接サポートしていません。しかし、CSPディレクティブは自分で追加することができます(例えば、Webサーバーやテーマを経由して)。 Content Security Policy (CSP)の記事は、これを実現するのに役立つかもしれません。
- "Strict-Transport-Security" ヘッダ:この設定は、TomcatなどのApplication Server側(Liferay側ではなく)で行う必要があります。 Enabling HTTP Strict Transport Security (HSTS) の記事は、これを実現するのに役立つかもしれません。
-
"Cross-origin resource sharing (CORS)"ヘッダ:Cross-Origin Resource Sharingは、Liferayの設定では管理されません。以下の記事には、CORSを有効にするために使用できるいくつかの役立つ情報とWebサーバー構成の例が含まれています。
- Cross-Origin Resource Sharing (CORS)
- CORS Filter
- 注:CORS構成は、DXP7.2以降のLiferay内で設定できます。 7.2のConfiguring CORS と7.3のSetting Up CORSのドキュメントを参照してください。
- "Public-Key-Pins" ヘッダ:この設定はWebサーバで行う必要があります。 この記事:HTTP Public Key Pinning (HPKP) はPublic-key-pinsを有効にするのに役立つかもしれません。
追加情報
ご注意:上記のハイパーリンク先の記事は、基本情報に共有されている非公式の記事です。 これらの記事の使用は、完全にあなたの裁量に委ねられています。
4から7までのヘッダは、アプリケーション・サーバまたはWebサーバで設定する必要があり、どちらのプラットフォームもLiferayサポートの範囲外となります。