/
100.txt
105 lines (76 loc) · 4.21 KB
/
100.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
[1] [[本番サーバー]]とは別に[DFN[開発用Webサーバー]]を設けることがよくあります。
* 開発サーバーの設定
[20] [[開発用サーバー]]を用いて関係者だけで事前に開発・デバッグ・確認に供する場合、
次のように設定するべきです。
** 認証
[2] 適切な[[TLSクライアント認証]]や[[HTTP認証]]を設定するのが好ましいです。
[3] アクセス元[[IPアドレス]]による制限が行われることもよくありますが、
開発者や外部協力者のネットワーク環境の違いなどで悩まされがちです。
[16]
これは、第三者に開発中の状態が漏洩することを防ぐために必要な措置です。
[[オープンソース]]の [[Webアプリケーション]]など、
特に秘匿するべきものが無い場合には、省略して構いません。
** [CODE[robots.txt]]
[4]
[CODE[/robots.txt]] にアクセスがあった時、次のような[[テキストファイル]]を返すべきです。
[FIG[ [5] すべてを拒否する [CODE[robots.txt]]
[PRE(code)[
User-agent: *
Disallow: /
]PRE]
]FIG]
[15]
これは、[[検索エンジン]]その他の[[ロボット]]に[[クロール]]されることを防ぐため必要な措置です。
[[認証]]により[[検索エンジン]]からアクセスされないはずの場合でも、
念のため設定しておくことをおすすめします。
** [CODE[<meta name=robots>]]
[6] [[HTML文書]]を返す場合、
[CODE[head]] [[要素]]内に次のように記述するべきです。
[FIG[ [7] すべてを拒否する [CODE[<meta name=robots>]]
[PRE(code)[
<meta name=robots content=noindex,nofollow,noarchive>
]PRE]
]FIG]
[14]
これは、[[検索エンジン]]その他の[[ロボット]]に[[クロール]]されることを防ぐため必要な措置です。
[[認証]]により[[検索エンジン]]からアクセスされないはずの場合でも、
念のため設定しておくことをおすすめします。
[18]
なお、
[[認証]]など適切な措置を他に講じない場合、
[CODE[<meta name=robots>]]
のみを指定しても当該 [[URL]]
が[[検索エンジン]]に掲載されたり、
[[アーカイブ]]系サービスに保存されたりすることを拒むことはできませんから、
注意が必要であります。
** リファラーの無効化
[9] [[リンク]]等から [[referrer]] が送信されないようにするべきです。
[REFS[
- [8] [CITE[Referrer を制御する - Qiita]] ([TIME[2017-05-29 13:44:56 +09:00]]) <https://qiita.com/wakaba@github/items/707d72f97f2862cd8000>
]REFS]
[12]
これは、[[リンク]]の参照元 ([[referrer]]) として[[開発サーバー]]の [[URL]]
が[[リンク先]]の[[サーバー]]に送信されてしまうことを防ぐため必要な措置です。
[13]
なお、 [[referrer]] は [[CSRF]] 防止など、
当該[[開発サーバー]]自身も必要としている場合があります。
その場合は完全に無効化するのではなく、自サーバーへの送信は認めるような指定が必要となります。
** 共有ボタン
[10]
[[SNS]] の[[共有]]のボタン類が [[Webページ]]中に含まれる場合、
その対象として指定する [[URL]] を [CODE[https://www.example.com/]] に置き換えるなどするべきです。
[11]
これは、誤操作により[[開発サーバー]]から[[共有]]してしまうことや、
ボタン表示のために [[URL]] を [[SNS]] の[[サーバー]]に送信してしまうことを防ぐため必要な措置です。
** メール送信、 Web Hooks
[17]
[[インターネットメール]]その他[[電子メール]]や [[IM]]
の送信機能、
[[Web Hooks]]、
[[プッシュ通知]]、
その他これらに類する機能が備わっている場合、
関係者以外に送信されることがないように必要に応じて設定するべきです。
** 注意
[19]
[[本番サーバー]]でこれらの措置を解除すること、
初の[[本番サーバー]]公開後に[[開発サーバー]]からこれらの措置が抜け落ちてしまわないことに注意。