認証

[2] 適切なTLSクライアント認証やHTTP認証を設定するのが好ましいです。

[3] アクセス元IPアドレスによる制限が行われることもよくありますが、 開発者や外部協力者のネットワーク環境の違いなどで悩まされがちです。

[16] これは、第三者に開発中の状態が漏洩することを防ぐために必要な措置です。 オープンソースの Webアプリケーションなど、 特に秘匿するべきものが無い場合には、省略して構いません。

robots.txt

[4] /robots.txt にアクセスがあった時、次のようなテキストファイルを返すべきです。

User-agent: *
Disallow: /

[15] これは、検索エンジンその他のロボットにクロールされることを防ぐため必要な措置です。 認証により検索エンジンからアクセスされないはずの場合でも、 念のため設定しておくことをおすすめします。

<meta name=robots>

[6] HTML文書を返す場合、 head 要素内に次のように記述するべきです。

<meta name=robots content=noindex,nofollow,noarchive>

[14] これは、検索エンジンその他のロボットにクロールされることを防ぐため必要な措置です。 認証により検索エンジンからアクセスされないはずの場合でも、 念のため設定しておくことをおすすめします。

[18] なお、 認証など適切な措置を他に講じない場合、 <meta name=robots> のみを指定しても当該 URL が検索エンジンに掲載されたり、 アーカイブ系サービスに保存されたりすることを拒むことはできませんから、 注意が必要であります。

リファラーの無効化

[9] リンク等から referrer が送信されないようにするべきです。

[12] これは、リンクの参照元 (referrer) として開発サーバーの URL がリンク先のサーバーに送信されてしまうことを防ぐため必要な措置です。

[13] なお、 referrer は CSRF 防止など、 当該開発サーバー自身も必要としている場合があります。 その場合は完全に無効化するのではなく、自サーバーへの送信は認めるような指定が必要となります。

共有ボタン

[10] SNS の共有のボタン類が Webページ中に含まれる場合、 その対象として指定する URL を https://www.example.com/ に置き換えるなどするべきです。

[11] これは、誤操作により開発サーバーから共有してしまうことや、 ボタン表示のために URL を SNS のサーバーに送信してしまうことを防ぐため必要な措置です。

メール送信、 Web Hooks

[17] インターネットメールその他電子メールや IM の送信機能、 Web Hooks、 プッシュ通知、 その他これらに類する機能が備わっている場合、 関係者以外に送信されることがないように必要に応じて設定するべきです。

注意

[19] 本番サーバーでこれらの措置を解除すること、 初の本番サーバー公開後に開発サーバーからこれらの措置が抜け落ちてしまわないことに注意。