[W3C]Clear Site Dataについて
W3CのWeb Application Security WG が公開している、「Clear Site Data」というWorking Draftを解説していきます。英語の原文は以下です。
概要
Clear-Site-Data ヘッダーはホストに関するローカルデータ(クッキー・ストレージ・キャッシュ)を削除するように指定することができます。
この機能が必要な理由
ユーザーのローカル環境に保存されたデータはアプリケーションのパフォーマンスをあげたりと開発者とユーザー双方にとって利点があります。
しかし、ユーザーのデータはセンシティブで重要なものになるため、これを守る必要があります。
このデータを守る方法は2つあり、「暗号化した状態で保存する」か「必要でなくなった時点で削除する」ことが挙げられます。
現状Javascript等で一部のストレージは削除できますが、問題が残ります。例えば、クッキーを削除したいとしましょう。Set-Cookieヘッダーで一つ一つCookieの内容を上書きしていくには、そのアプリケーションから提供される全てのCookieを認識している必要があります。
ここでClear-Site-Dataヘッダーで一括で削除できるような制御をします。
仕様
Clear-Site-Data: "cache"
ホストに関するキャッシュを削除します
Clear-Site-Data: "cookies"
ホストに関するクッキーを削除します
Clear-Site-Data: "storage"
ホストに関するストレージを削除します
Clear-Site-Data: "executionContexts"
ホストに関する全ての閲覧データを再読み込みするします
Clear-Site-Data: "*"
全てのタイプを指定したのと同じ効力を持ちます