以前、仕事中にWEBのTipsをメモ代わりにTwitterでつぶやいていたのですが、Twitterではエントリーが流れていってしまうので、今後はブログにも残していこうと思います。
さて、今回はSSLのサイトにフォームを設置するとき、必ず対応しておきたいポイントを紹介します。
以前私がメンテナンスに携わっていたサイトで、セキュリティの審査の際にチェックポイントとして挙げられていた項目ですが、私が見た時点ではほぼ未対応でした。
それだけ見落としがちな細かいことですが、サイトの信用性を高めるためにもチェックを怠らないようにしたいものです。
パスワードのオートコンプリートをOFFにする
<form>もしくは<input>タグ中に、autocomplete=”off”を記述する。
1 | <form method="post" action="example.cgi" autocomplete="off"> |
1 | <input type="password" name="example1" autocomplete="off"> |
クレジットカード番号の入力欄も、オートコンプリートがONになっているフォームをよく見かけます。
こちらもOFFにしておく方が安全です。
ブラウザのキャッシュを無効にする設定を施す
フォームを設置するページのHTTP ヘッダに、’Pragma: No-cache’ および ‘Cache-control: No-cache’ を設定する。
1 2 | <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Cache-Control" content="no-cache"> |