Sinatra を使う場合のセキュリティ設定について
Apache のヘッダーに色々と書いたら Sinatra で書いたアプリケーションが 404 を返したり不穏な挙動を起こすようになってしまった!ドキュメントを読め!というお話。
ことの発端
社内で使う小さな問い合わせフォームを Sinatra でミニマムに実装したのですが、「最低限のセキュリティ設定くらいした方がいいよな…」と思い次の設定を Apache で行いました。
Header set X-XSS-Protection "1; mode=block" Header set X-Frame-Options DENY
Error parsing header X-XSS-Protection: 1; mode=block, 1; mode=block: expected semicolon at character position 14. The default protections will be applied.
このようなエラーが発生しました。これを解決します。
先に結論
Apache 側の設定は必要ありませんでした。