Spring Securityでヘッダー強化を設定しよう！HSTS・X-Content-Type-Options・Referrer-Policyを初心者向けに解説

1. Spring Securityでのヘッダー設定の基本

1. Spring Securityでのヘッダー設定の基本

Spring Securityでは、HTTPヘッダーを使ってセキュリティを強化することが可能です。SecurityFilterChain内でheaders()メソッドを使い、さまざまなセキュリティヘッダーを定義できます。

ヘッダーを正しく設定することで、XSSやクリックジャッキング、コンテンツタイプ偽装、HTTPダウングレード攻撃など、さまざまな脅威を防ぐことができます。

2. HSTS（HTTP Strict Transport Security）を設定する

2. HSTS（HTTP Strict Transport Security）を設定する

HSTS（エイチエスティーエス）とは、ブラウザにHTTPSのみでの接続を強制させるセキュリティ機能です。HTTPダウングレード攻撃を防ぐうえで非常に有効です。

Spring Securityでは、http.headers().httpStrictTransportSecurity()で簡単に設定できます。

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .headers(headers -> headers
            .httpStrictTransportSecurity(hsts -> hsts
                .includeSubDomains(true)
                .maxAgeInSeconds(31536000)
            )
        )
        .build();
}

この設定により、すべてのサブドメインにもHSTSが適用され、最大1年間（31536000秒）HTTPS通信を強制します。

3. X-Content-Type-Optionsヘッダーを設定してコンテンツ偽装を防ぐ

3. X-Content-Type-Optionsヘッダーを設定してコンテンツ偽装を防ぐ

X-Content-Type-Optionsヘッダーを設定すると、ブラウザがMIMEタイプを勝手に推測して実行するのを防げます。これにより、HTMLファイルに埋め込まれた不正なスクリプトが実行されるリスクを減らせます。

Spring Securityでは、次のように設定します。

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .headers(headers -> headers
            .contentTypeOptions(Customizer.withDefaults())
        )
        .build();
}

これによりX-Content-Type-Options: nosniffというヘッダーが付与され、MIMEスニッフィングが防止されます。

4. Referrer-Policyでリファラー情報の制御を行う

4. Referrer-Policyでリファラー情報の制御を行う

Referrer-Policyは、外部サイトへのリンクをクリックしたときに、どこまでのリファラー情報（前のページURL）を送信するかを制御するセキュリティヘッダーです。

たとえば、完全なURLを送信したくない場合や、セキュリティ上の理由で最小限にとどめたいときに有効です。

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .headers(headers -> headers
            .referrerPolicy(policy -> policy
                .policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.SAME_ORIGIN)
            )
        )
        .build();
}

SAME_ORIGINを指定することで、同一ドメイン間のみリファラー情報が送られ、外部ドメインには情報が漏れません。

5. 3つのセキュリティヘッダーをまとめて設定する

5. 3つのセキュリティヘッダーをまとめて設定する

実際の開発では、複数のセキュリティヘッダーを同時に設定することが多いです。Spring Securityのheaders()を活用すれば、シンプルにまとめて定義できます。

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .headers(headers -> headers
            .httpStrictTransportSecurity(hsts -> hsts
                .includeSubDomains(true)
                .maxAgeInSeconds(31536000))
            .contentTypeOptions(Customizer.withDefaults())
            .referrerPolicy(policy -> policy
                .policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.SAME_ORIGIN))
        )
        .build();
}

このように設定することで、HTTPS強制、MIMEタイプの偽装防止、リファラー情報制御の3つを同時に実現できます。

6. 設定したセキュリティヘッダーを確認する方法

6. 設定したセキュリティヘッダーを確認する方法

設定したHTTPヘッダーが実際にレスポンスに含まれているか確認するには、ブラウザの開発者ツールやcurlコマンド、Postmanなどを使います。

たとえばcurlを使うと、次のようにレスポンスヘッダーを確認できます。

curl -I https://localhost:8080

出力結果の中に、次のような行が含まれていれば設定成功です。

Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Content-Type-Options: nosniff
Referrer-Policy: same-origin

7. Spring Securityで設定できるその他のセキュリティヘッダー

7. Spring Securityで設定できるその他のセキュリティヘッダー

今回紹介した3つのヘッダー以外にも、Spring Securityでは以下のようなセキュリティヘッダーを設定できます。

• Content-Security-Policy：XSS対策に効果的
• X-Frame-Options：クリックジャッキング対策
• Permissions-Policy：ブラウザ機能の制限

これらを組み合わせて設定することで、Webアプリケーションのセキュリティレベルを大きく向上させることができます。

8. 初心者が注意すべきポイント

8. 初心者が注意すべきポイント

Spring Securityのセキュリティヘッダー設定はシンプルですが、設定ミスによって意図せず機能が動作しなかったり、逆に正当な通信がブロックされたりする場合もあります。

特に以下の点に注意してください：

• 本番環境では必ずHTTPSを有効にする
• テスト環境ではHSTSの影響でHTTPが使えなくなることに注意
• ブラウザで設定が効いているか毎回確認する