Spring Securityでヘッダー強化を設定しよう!HSTS・X-Content-Type-Options・Referrer-Policyを初心者向けに解説
生徒
「Spring Securityでセキュリティヘッダーを強化したいんですが、何を設定すればいいですか?」
先生
「それは重要なポイントですね。特にHSTS、X-Content-Type-Options、Referrer-Policyの3つは初心者でもすぐに設定できて効果的ですよ。」
生徒
「それらをSpring Securityでどうやって設定するのか教えてください!」
先生
「それでは順番に、実装方法とセキュリティ効果を見ていきましょう!」
1. Spring Securityでのヘッダー設定の基本
Spring Securityでは、HTTPヘッダーを使ってセキュリティを強化することが可能です。SecurityFilterChain内でheaders()メソッドを使い、さまざまなセキュリティヘッダーを定義できます。
ヘッダーを正しく設定することで、XSSやクリックジャッキング、コンテンツタイプ偽装、HTTPダウングレード攻撃など、さまざまな脅威を防ぐことができます。
2. HSTS(HTTP Strict Transport Security)を設定する
HSTS(エイチエスティーエス)とは、ブラウザにHTTPSのみでの接続を強制させるセキュリティ機能です。HTTPダウングレード攻撃を防ぐうえで非常に有効です。
Spring Securityでは、http.headers().httpStrictTransportSecurity()で簡単に設定できます。
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.headers(headers -> headers
.httpStrictTransportSecurity(hsts -> hsts
.includeSubDomains(true)
.maxAgeInSeconds(31536000)
)
)
.build();
}
この設定により、すべてのサブドメインにもHSTSが適用され、最大1年間(31536000秒)HTTPS通信を強制します。
将来を見据えて、+αのスキルを身につけたい方へ
JavaやLinuxを学んでいても、「このままで市場価値は上がるのか」 「キャリアの選択肢を広げたい」と感じる方は少なくありません。
AIを学ぶならアイデミープレミアム
3. X-Content-Type-Optionsヘッダーを設定してコンテンツ偽装を防ぐ
X-Content-Type-Optionsヘッダーを設定すると、ブラウザがMIMEタイプを勝手に推測して実行するのを防げます。これにより、HTMLファイルに埋め込まれた不正なスクリプトが実行されるリスクを減らせます。
Spring Securityでは、次のように設定します。
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.headers(headers -> headers
.contentTypeOptions(Customizer.withDefaults())
)
.build();
}
これによりX-Content-Type-Options: nosniffというヘッダーが付与され、MIMEスニッフィングが防止されます。
4. Referrer-Policyでリファラー情報の制御を行う
Referrer-Policyは、外部サイトへのリンクをクリックしたときに、どこまでのリファラー情報(前のページURL)を送信するかを制御するセキュリティヘッダーです。
たとえば、完全なURLを送信したくない場合や、セキュリティ上の理由で最小限にとどめたいときに有効です。
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.headers(headers -> headers
.referrerPolicy(policy -> policy
.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.SAME_ORIGIN)
)
)
.build();
}
SAME_ORIGINを指定することで、同一ドメイン間のみリファラー情報が送られ、外部ドメインには情報が漏れません。
5. 3つのセキュリティヘッダーをまとめて設定する
実際の開発では、複数のセキュリティヘッダーを同時に設定することが多いです。Spring Securityのheaders()を活用すれば、シンプルにまとめて定義できます。
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.headers(headers -> headers
.httpStrictTransportSecurity(hsts -> hsts
.includeSubDomains(true)
.maxAgeInSeconds(31536000))
.contentTypeOptions(Customizer.withDefaults())
.referrerPolicy(policy -> policy
.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.SAME_ORIGIN))
)
.build();
}
このように設定することで、HTTPS強制、MIMEタイプの偽装防止、リファラー情報制御の3つを同時に実現できます。
6. 設定したセキュリティヘッダーを確認する方法
設定したHTTPヘッダーが実際にレスポンスに含まれているか確認するには、ブラウザの開発者ツールやcurlコマンド、Postmanなどを使います。
たとえばcurlを使うと、次のようにレスポンスヘッダーを確認できます。
curl -I https://localhost:8080
出力結果の中に、次のような行が含まれていれば設定成功です。
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Content-Type-Options: nosniff
Referrer-Policy: same-origin
7. Spring Securityで設定できるその他のセキュリティヘッダー
今回紹介した3つのヘッダー以外にも、Spring Securityでは以下のようなセキュリティヘッダーを設定できます。
- Content-Security-Policy:XSS対策に効果的
- X-Frame-Options:クリックジャッキング対策
- Permissions-Policy:ブラウザ機能の制限
これらを組み合わせて設定することで、Webアプリケーションのセキュリティレベルを大きく向上させることができます。
8. 初心者が注意すべきポイント
Spring Securityのセキュリティヘッダー設定はシンプルですが、設定ミスによって意図せず機能が動作しなかったり、逆に正当な通信がブロックされたりする場合もあります。
特に以下の点に注意してください:
- 本番環境では必ずHTTPSを有効にする
- テスト環境ではHSTSの影響でHTTPが使えなくなることに注意
- ブラウザで設定が効いているか毎回確認する
Spring FrameworkやThymeleafを使った Webアプリ開発の全体像をやさしく理解したい人には、 この入門書が定番です。
Spring Framework超入門をAmazonで見る※ Amazonアソシエイト・プログラムを利用しています
