本番環境でのサーバ(特にapache)の推奨設定について記載する

[okazy]

EC-CUBEが動いているサーバは環境ごとに様々であるが、いくつか推奨の設定はあるかと思います。

インストール方法のページの 本番環境での .env ファイルの利用について の下あたりに記載できれば良いかと思います。
https://doc4.ec-cube.net/quickstart_install#%E6%9C%AC%E7%95%AA%E7%92%B0%E5%A2%83%E3%81%A7%E3%81%AE-env-%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E5%88%A9%E7%94%A8%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6

全ての設定は書ききれないので、「これだけ設定すればOK」みたいなニュアンスになってしまわないように書きたい。

パッと思いつく思いつく設定は以下

• 管理画面のキャッシュ制御
  • 管理画面のレスポンスのヘッダに Cache-Control: no-store を指定する
• サーバのバージョン情報を非表示
  • ApacheやPHPおよびOpenSSLのバージョン情報がヘッダに入らないように設定する。
• HTTPSの強制
  • レスポンスのヘッダに Strict-Transport-Security を指定する

他にも推奨の設定があれば教えていただけると嬉しいです。

[nanasess]

2系では出力している以下や、

X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
X-Frame-Options: DENY

CSP などセキュリティ関連のヘッダ出力があると良いと思います
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP

[ji-eunsoo]

@okazy
ありがとうございます。追加は必要だと思います。

＠皆様
PRいただけると嬉しいです。