[W3C]Clear Site Dataについて

2023年2月12日 16:26

W3CのWeb Application Security WG が公開している、「Clear Site Data」というWorking Draftを解説していきます。英語の原文は以下です。

概要

Clear-Site-Data ヘッダーはホストに関するローカルデータ(クッキー・ストレージ・キャッシュ)を削除するように指定することができます。

ユーザーのローカル環境に保存されたデータはアプリケーションのパフォーマンスをあげたりと開発者とユーザー双方にとって利点があります。
しかし、ユーザーのデータはセンシティブで重要なものになるため、これを守る必要があります。

このデータを守る方法は2つあり、「暗号化した状態で保存する」か「必要でなくなった時点で削除する」ことが挙げられます。

現状Javascript等で一部のストレージは削除できますが、問題が残ります。例えば、クッキーを削除したいとしましょう。Set-Cookieヘッダーで一つ一つCookieの内容を上書きしていくには、そのアプリケーションから提供される全てのCookieを認識している必要があります。

ここでClear-Site-Dataヘッダーで一括で削除できるような制御をします。

ホストに関するキャッシュを削除します

ホストに関するクッキーを削除します

ホストに関するストレージを削除します

ホストに関する全ての閲覧データを再読み込みするします

全てのタイプを指定したのと同じ効力を持ちます