security-headers-configuration
HTTPセキュリティヘッダー(CSP、HSTS、X-Frame-Options、XSS対策など)を設定するスキルです。Webアプリケーションを一般的な攻撃から堅牢化したい場合に使用します。
description の原文を見る
> Configure HTTP security headers including CSP, HSTS, X-Frame-Options, and XSS protection. Use when hardening web applications against common attacks.
SKILL.md 本文
セキュリティヘッダー設定
目次
概要
XSS、クリックジャッキング、MIME スニッフィング、およびその他のブラウザベースの攻撃からウェブアプリケーションを保護するための包括的な HTTP セキュリティヘッダーを実装します。
使用場面
- 新しいウェブアプリケーションのデプロイ
- セキュリティ監査の修復
- コンプライアンス要件
- ブラウザセキュリティの強化
- API セキュリティ
- 静的サイト保護
クイックスタート
最小限の動作例:
// security-headers.js
const helmet = require("helmet");
function configureSecurityHeaders(app) {
// Helmet の包括的な設定
app.use(
helmet({
// Content Security Policy
contentSecurityPolicy: {
directives: {
defaultSrc: ["'self'"],
scriptSrc: [
"'self'",
"'unsafe-inline'", // 本番環境では削除
"https://cdn.example.com",
"https://www.google-analytics.com",
],
styleSrc: [
"'self'",
"'unsafe-inline'",
"https://fonts.googleapis.com",
],
fontSrc: ["'self'", "https://fonts.gstatic.com"],
imgSrc: ["'self'", "data:", "https:", "blob:"],
connectSrc: ["'self'", "https://api.example.com"],
// ... (完全な実装についてはリファレンスガイドを参照)
リファレンスガイド
references/ ディレクトリの詳細な実装:
| ガイド | 内容 |
|---|---|
Node.js/Express セキュリティヘッダー | Node.js/Express セキュリティヘッダー |
Nginx セキュリティヘッダー設定 | Nginx セキュリティヘッダー設定 |
Python Flask セキュリティヘッダー | Python Flask セキュリティヘッダー |
Apache .htaccess 設定 | Apache .htaccess 設定 |
セキュリティヘッダーテストスクリプト | セキュリティヘッダーテストスクリプト |
ベストプラクティス
✅ すべき事
- 全てで HTTPS を使用する
- 厳密な CSP を実装する
- HSTS をプリロード有効で有効化する
- X-Frame-Options でフレーミングをブロックする
- MIME スニッフィングを防止する
- CSP 違反を報告する
- ヘッダーを定期的にテストする
- セキュリティスキャナーを使用する
❌ してはいけない事
- CSP で unsafe-inline を許可する
- サブドメインで HSTS をスキップする
- CSP 違反を無視する
- 過度に許容的なポリシーを使用する
- 変更をテストするのを忘れる
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- aj-geddes
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/aj-geddes/useful-ai-prompts / ライセンス: MIT
関連スキル
doubt-driven-development
重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。
apprun-skills
TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。
desloppify
コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。
debugging-and-error-recovery
テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。
test-driven-development
テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。
incremental-implementation
変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。