合格.dev › 情報処理安全確保支援士試験 › 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ › 問15 情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問15: HSTS(HTTP Strict Transport Security)の説明はどれか。 ← 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ
☆ HSTS(HTTP Strict Transport Security)の説明はどれか。
HSTS を利用する Web サイトに Web ブラウザが HTTP でアクセスした場合,Web ブラウザから当該サイトへのその後のアクセスを強制的に HTTP over TLS(HTTPS)にする。
HSTS を利用する Web サイトに Web ブラウザが HTTP でアクセスした場合,Web ページの文書やスクリプトについて,あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。
HTTPS で通信が保護されている場合だけ,cookie の属性によらず強制的に cookie を送信する。
信頼性が高いサーバ証明書を有する Web サイトとの HTTPS 通信では,Web ブラウザに鍵マークを表示する。
問題本文 HSTS(HTTP Strict Transport Security)の説明はどれか。
選択肢 ア. HSTS を利用する Web サイトに Web ブラウザが HTTP でアクセスした場合,Web ブラウザから当該サイトへのその後のアクセスを強制的に HTTP over TLS(HTTPS)にする。イ. HSTS を利用する Web サイトに Web ブラウザが HTTP でアクセスした場合,Web ページの文書やスクリプトについて,あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。ウ. HTTPS で通信が保護されている場合だけ,cookie の属性によらず強制的に cookie を送信する。エ. 信頼性が高いサーバ証明書を有する Web サイトとの HTTPS 通信では,Web ブラウザに鍵マークを表示する。正解 ア. HSTS を利用する Web サイトに Web ブラウザが HTTP でアクセスした場合,Web ブラウザから当該サイトへのその後のアクセスを強制的に HTTP over TLS(HTTPS)にする。
解説 HSTS(HTTP Strict Transport Security)は、サーバが応答ヘッダで指示し、以降そのサイトへのアクセスをブラウザが強制的にHTTPS (HTTP over TLS )で行うようにする仕組み。ユーザがhttp://でアクセスしても自動でhttpsに切り替わり、平文通信や中間者によるSSLストリッピングを防ぐ。これを述べたアが正解。実務ではTLS化したサイトの保護を確実にする重要なヘッダである。
選択肢ごとの解説 ア. 以降のアクセスを強制的にHTTPSにしてダウングレードを防ぐ点がHSTSの説明であり、これが正解。イ. オリジン間のリソースアクセスを制限するのは同一オリジンポリシーやCORSの話で、HSTSではない。ウ. 属性によらずcookieを強制送信する仕組みではなく、cookie制御の説明としても誤りでHSTSではない。エ. 鍵マーク表示はブラウザのTLS接続表示の話で、通信をHTTPSに強制するHSTSの説明ではない。情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ の過去問一覧 へ戻る・問15
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。