Cloudflare Pages と React サイトのセキュリティヘッダー

強化された React サイトでは、ブラウザの挙動を明示的に設定すべきです。正確なポリシーはアプリに依存しますが、通常は content type 保護、clickjacking 対策、referrer 制御、permissions policy、慎重に設計した content security policy を含みます。

静的ホストでは、ヘッダーがなくてもアプリが表示されるため、この作業が忘れられがちです。セキュリティは HTTP レスポンス層で検証する必要があります。

• 可能な限りヘッダールールをリポジトリ近くに置き、コードと一緒にレビューできるようにします。
• ドキュメント化されていない dashboard のみの変更は、将来の監査が難しくなるため避けます。
• www と apex の両方を配信している場合は、両方を確認します。
• redirect によって最終レスポンスから重要なヘッダーが落ちていないか確認します。

Access-Control-Allow-Origin: * は理由なくコピーされることがあります。通常の Web ページでは広い CORS は訪問者にほとんど利益を与えず、将来同じポリシー下に endpoint が追加された場合に偶発的なデータ露出を容易にする可能性があります。

• 静的ヘッダー設定で wildcard CORS を拒否するテスト。
• sitemap と robots ファイルを公開する build ステップ。
• 重要ページが render され、metadata が存在することを確認する preview チェック。
• デプロイ後に production ドメインで live response を確認するチェック。