Azure Front Door Standard または Premium のルール セットを使用してセキュリティ ヘッダーを構成する

この記事では、HTTP Strict-Transport-Security (HSTS)、X-XSS-Protection、Content-Security-Policy、X-Frame-Options など、ブラウザーベースの脆弱性を防ぐためにセキュリティ ヘッダーを実装する方法について説明します。 セキュリティベースの属性は、Cookie でも定義できます。

次の例では、ルート内のパスに一致するすべての着信要求に Content-Security-Policy ヘッダーを追加する方法を示します。 ここでは、信頼できるサイト https://contoso.azure-api.net からのスクリプトにのみ、アプリケーション上での実行を許可します。

前提条件

• セキュリティ ヘッダーを構成するには、まず、Front Door を作成する必要があります。 詳細については、「クイック スタート: Front Door の作成」を参照してください。
• 以前にルール セット機能を使用していない場合は、ルール セットを設定する方法を確認してください。

Azure portal で Content-Security-Policy ヘッダーを追加する

1. Azure Front Door Standard または Premium のプロファイルにアクセスし、 [設定] で [ルール セット] を選択します。

2. [追加] を選択して新しいルール セットを追加します。 ルール セットに名前を付け、ルールの名前を指定します。 [アクションの追加] を選択し、 [応答ヘッダー] を選択します。

3. 演算子を Append に設定して、このヘッダーを、このルートのすべての着信要求への応答として追加します。

4. ヘッダー名として「Content-Security-Policy」を追加し、このヘッダーで受け入れる値を定義します。 このシナリオでは、"script-src 'self' https://contoso.azure-api.net" を選択します。

5. 必要なすべてのルールを構成に追加したら、必ず、ルール セットをルートに関連付けてください。 ルール セットによってアクションを実行できるようにするためには、この手順が "必須" です。

Note

このシナリオでは、ルールに一致条件を追加しませんでした。 関連付けられたルートに定義されているパスに一致するすべての着信要求に、このルールが適用されます。 これらの要求の一部にのみ適用する場合、必ず特定の一致条件をこのルールに追加してください。

リソースをクリーンアップする

規則の削除

前の手順では、ルール セットを使用して Content-Security-Policy ヘッダーを構成しました。 ルールが不要になった場合は、ルール セット名を選択して、[ルールの削除] を選択します。

ルール セットの削除

ルール セットを削除する場合は、削除の前に、すべてのルートから関連付けを解除してください。 ルール セットの削除に関する詳細なガイダンスについては、ルール セットの構成に関する記事を参照してください。

次のステップ

お使いのフロント ドア用に Azure Web Application Firewall を構成する方法については、Web Application Firewall と Front Door に関する記事を参照してください。