コンテンツ
Azure Static Web Apps の設定ファイル
静的サイト部分のルートフォルダにある、”staticwebapp.config.json” ファイルが参照される。一般的なWebサーバの設定で出来そうなことはだいたい設定できるみたいだ。その中で “globalHeaders” という項目でResponse Headerに関する設定が可能となっている。
デフォルト設定の確認
とりあえず無料のホスティングプランで確認。セキュリティに関わる項目に限るとこんな感じになっているようだ。以下の内容は何も設定しなくても適用される初期設定となる。
{
"globalHeaders": {
"strict-transport-security": "max-age=10886400; includeSubDomains; preload;",
"referrer-policy": "same-origin",
"x-content-type-options": "nosniff",
"Referrer-Policy": "no-referrer",
"x-xss-protection": "1; mode=block"
}
}
よりセキュアな設定にする
自前で設定するファイルにもう少し設定を追加して、よりセキュアなものにする。上記の設定は変更する必要がなければ追加しなくても問題ない。基本的にはこのままで問題ないだろう。
追加したい項目としては、”Content-Security-Policy”, “X-Frame-Options”, 必要に応じて”Permissions-Policy”等があるだろうか。一例としては、
{
"globalHeaders": {
"X-Frame-Options": "SAMEORIGIN",
"Content-Security-Policy": "default-src 'self'; frame-ancestors 'self'"
}
}