mdn · mfuji09 · Jul 28, 2024 · Jul 28, 2024
@@ -9,7 +9,8 @@ slug: Web/HTTP/Cross-Origin_Resource_Policy
 
 CORP は既定で {{Glossary("same-origin policy")}} を超えた保護の追加レイヤーです。クロスオリジンリソースポリシーは、既定でクロスオリジンの読み込みを保護するメカニズムである、 [クロスオリジンリードブロッキング](https://fetch.spec.whatwg.org/#corb) (CORB)を補完します。
 
-> **メモ:** このポリシーは、既定で CORS セーフリストメソッド／ヘッダーに対して発行される、[`no-cors`](https://fetch.spec.whatwg.org/#concept-request-mode) リクエストに対してのみ有効です。
+> [!NOTE]
+> このポリシーは、既定で CORS セーフリストメソッド／ヘッダーに対して発行される、[`no-cors`](https://fetch.spec.whatwg.org/#concept-request-mode) リクエストに対してのみ有効です。
 
 このポリシーは*[レスポンスヘッダー](/ja/docs/Glossary/Response_header)*を介して表現されるため、実際のリクエストは防止されません。むしろ、ブラウザーは応答本文を削除することで*結果*が漏洩するのを防ぎます。
 
@@ -33,7 +34,8 @@ CORP は既定で {{Glossary("same-origin policy")}} を超えた保護の追加
 
   - : 同じ _{{Glossary("Site")}}_ からのリクエストのみリソースを読み込めます。
 
-    > **警告:** これは{{Glossary("origin", "オリジン")}}よりも安全性が低いものです。[2 つのオリジンが同じサイトであるかどうかをチェックするアルゴリズム](https://html.spec.whatwg.org/multipage/origin.html#same-site)は HTML 標準で定義されており、*登録可能なドメイン*をチェックします。
+    > [!WARNING]
+    > これは{{Glossary("origin", "オリジン")}}よりも安全性が低いものです。[2 つのオリジンが同じサイトであるかどうかをチェックするアルゴリズム](https://html.spec.whatwg.org/multipage/origin.html#same-site)は HTML 標準で定義されており、*登録可能なドメイン*をチェックします。
 
 - same-origin
   - : 同じ _{{Glossary("origin")}}_ (すなわち、スキーマ + ホスト + ポート) からのリクエストのみリソースを読み込めます。

@@ -24,7 +24,8 @@ slug: Web/HTTP/Headers/Accept-CH
   </tbody>
 </table>
 
-> **メモ:** クライアントヒントには、安全なオリジン (TLS 経由) でのみアクセスできます。 Accept-CH ヘッダーと Accept-CH-Lifetime ヘッダーは、クライアントヒントが確実に送信されるように、すべての安全なリクエストに対して保持する必要があります。
+> [!NOTE]
+> クライアントヒントには、安全なオリジン (TLS 経由) でのみアクセスできます。 Accept-CH ヘッダーと Accept-CH-Lifetime ヘッダーは、クライアントヒントが確実に送信されるように、すべての安全なリクエストに対して保持する必要があります。
 
 ## 構文
 
@@ -41,7 +42,8 @@ Accept-CH-Lifetime: 86400
 Vary: DPR, Viewport-Width, Width
 ```
 
-> **メモ:** 受け入れられたクライアントのヒントに基づいて、[レスポンスを変更](/ja/docs/Glossary/Client_hints#Varying_Client_Hints)することを忘れないでください。
+> [!NOTE]
+> 受け入れられたクライアントのヒントに基づいて、[レスポンスを変更](/ja/docs/Glossary/Client_hints#Varying_Client_Hints)することを忘れないでください。
 
 ## ブラウザーの互換性
 

@@ -9,7 +9,8 @@ slug: Web/HTTP/Headers/Accept-Charset
 
 サーバーが一致する文字エンコーディングを提供できない場合、理論的には {{HTTPStatus("406", "406 Not Acceptable")}} エラーコードを返すことができます。しかし、より使い勝手をよくするために、これはめったに行われず、 `Accept-Charset` ヘッダーは無視されます。
 
-> **メモ:** HTTP/1.1 の初期のバージョンでは、既定の文字エンコーディングを ISO-8859-1 と定義していました。これはすでに推奨されなくなっており、コンテンツ型ごとに個別に既定値が設定されるようになりました。
+> [!NOTE]
+> HTTP/1.1 の初期のバージョンでは、既定の文字エンコーディングを ISO-8859-1 と定義していました。これはすでに推奨されなくなっており、コンテンツ型ごとに個別に既定値が設定されるようになりました。
 >
 > UTF-8 への対応が進み、圧倒的に推奨される文字エンコーディングになっています。[設定に基づいたエントロピーを減少させることでより良いプライバシーを保証する](https://www.eff.org/deeplinks/2010/01/primer-information-theory-and-privacy)ために、すべてのブラウザーが `Accept-Charset` ヘッダーを省略しています。 Internet Explorer 8 以降、 Safari 5 以降、 Opera 11 以降、 Firefox 10 以降、 Chrome 27 以降は送信しなくなりました。
 

@@ -16,7 +16,7 @@ l10n:
 
 `identity` の値、つまりエンコードをしないということは、 `identity;q=0` または `*;q=0` で `identity` とは別な値が明確に設定されていない限り、サーバーは {{HTTPStatus("406")}} `Not Acceptable` エラーを返してはいけません。
 
-> **メモ:**
+> [!NOTE]
 >
 > - IANA レジストリーが[公式なコンテンツエンコーディングの完全なリスト](https://www.iana.org/assignments/http-parameters/http-parameters.xml#http-parameters-1)を管理しています。
 > - 他にも `bzip` および `bzip2` の 2 種類のエンコーディングが使用されることがありますが、標準ではありません。これはこれら 2 つの UNIX プログラムで使用されているアルゴリズムを実装しています。なお、前者は特許ライセンスの問題で開発終了しています。

@@ -13,7 +13,7 @@ l10n:
 
 サポートされていないメディアタイプの PATCH リクエストを受信したサーバーは、{{HTTPStatus("415")}} `Unsupported Media Type`と、 1 つ以上のサポートされているメディアタイプを参照する Accept-Patch ヘッダーで応答する可能性があります。
 
-> **メモ:**
+> [!NOTE]
 >
 > - IANA レジストリーが[公式なコンテンツエンコーディングの完全なリスト](https://www.iana.org/assignments/http-parameters/http-parameters.xml#http-parameters-1)を管理しています。
 > - 他にも `bzip` および `bzip2` の 2 種類のエンコーディングが使用されることがありますが、標準ではありません。これはこれら 2 つの UNIX プログラムで使用されているアルゴリズムを実装しています。なお、前者は特許ライセンスの問題で開発終了しています。

@@ -46,7 +46,8 @@ Authorization: <type> <credentials>
     - コロンで結合したユーザー名とパスワード (`aladdin:opensesame`)。
     - 結果の文字列は [base64](/ja/docs/Glossary/Base64) でエンコードされます (`YWxhZGRpbjpvcGVuc2VzYW1l`)。
 
-    > **メモ:** Base64 エンコードは暗号化でもハッシュでもありません。この方法の安全性はクリアテキストで認証情報を送るのと同等です (Base64 は可逆エンコーディングです)。 Basic 認証は HTTPS との組み合わせで使用することをお勧めします。
+    > [!NOTE]
+    > Base64 エンコードは暗号化でもハッシュでもありません。この方法の安全性はクリアテキストで認証情報を送るのと同等です (Base64 は可逆エンコーディングです)。 Basic 認証は HTTPS との組み合わせで使用することをお勧めします。
 
 ## 例
 

@@ -39,7 +39,8 @@ Clear-Site-Data: "*"
 
 ## ディレクティブ
 
-> **メモ:** すべてのディレクティブは[引用符で囲まれた文字列の文法](https://datatracker.ietf.org/doc/html/rfc7230#section-3.2.6)に従わなければなりません。二重引用符を含まないディレクティブは無効です。
+> [!NOTE]
+> すべてのディレクティブは[引用符で囲まれた文字列の文法](https://datatracker.ietf.org/doc/html/rfc7230#section-3.2.6)に従わなければなりません。二重引用符を含まないディレクティブは無効です。
 
 - `"cache"` {{Experimental_Inline}}
   - : サーバーが、レスポンス URL のオリジンに関するローカルにキャッシュされたデータ（つまり、ブラウザーキャッシュ、[HTTP キャッシュ](/ja/docs/Web/HTTP/Caching)を参照）の消去を望んでいることを示します。ブラウザーによっては、予備レンダリングページ、スクリプトキャッシュ、 WebGL シェーダーキャッシュ、アドレスバーのサジェスト等のようなものも消去します。

@@ -56,7 +56,8 @@ Content-Language: de-DE, en-CA
 - `language-tag`
   - : 複数の言語タグはカンマで区切られています。各言語タグはハイフン文字 ("`-`", `%x2D`) で区切られた、大文字小文字を区別しない 1 つ以上のサブタグのシーケンスです。ほとんどの場合、言語タグは関連する言語の広いファミリを識別するプライマリ言語サブタグ (たとえば、"`en`" = 英語) で構成され、オプションとして、その言語の範囲を絞り込むか狭める一連のサブタグ ("`en-CA`" = カナダで伝達される英語の種類) が続きます。
 
-> **メモ:** 言語タグは、使用される[言語コード](https://en.wikipedia.org/wiki/Language_code)の [ISO 639](https://en.wikipedia.org/wiki/ISO_639) 規格 ([ISO 639-1 のコードリスト](https://en.wikipedia.org/wiki/List_of_ISO_639-1_codes)であることが多い) に依存する、[RFC 5646](https://tools.ietf.org/html/rfc5646) でフォーマットが定義されています。
+> [!NOTE]
+> 言語タグは、使用される[言語コード](https://en.wikipedia.org/wiki/Language_code)の [ISO 639](https://en.wikipedia.org/wiki/ISO_639) 規格 ([ISO 639-1 のコードリスト](https://en.wikipedia.org/wiki/List_of_ISO_639-1_codes)であることが多い) に依存する、[RFC 5646](https://tools.ietf.org/html/rfc5646) でフォーマットが定義されています。
 
 ## 例
 

@@ -7,7 +7,8 @@ l10n:
 
 {{HTTPSidebar}}{{deprecated_header}}
 
-> **警告:** このディレクティブは、仕様上、廃止されたものとしてマークされています。すべての混合コンテンツは、自動アップグレードできない場合、ブロックされるようになりました。
+> [!WARNING]
+> このディレクティブは、仕様上、廃止されたものとしてマークされています。すべての混合コンテンツは、自動アップグレードできない場合、ブロックされるようになりました。
 
 HTTP の {{HTTPHeader("Content-Security-Policy")}} (CSP) **`block-all-mixed-content`** ディレクティブは、ページが HTTPS を使用しているときに HTTP で資産を読み込むことを防ぎます。
 

@@ -42,7 +42,8 @@ Content-Security-Policy: <policy-directive>; <policy-directive>
 
   - : [ウェブワーカー](/ja/docs/Web/API/Web_Workers_API)と、{{HTMLElement("frame")}} や {{HTMLElement("iframe")}} のような要素によって読み込まれる入れ子の閲覧コンテキストのための有効なソースを定義します。
 
-    > **警告:** 複合した閲覧コンテキストやワーカーを制御するには、 **`child-src`** の代わりに、それぞれ {{CSP("frame-src")}} および {{CSP("worker-src")}} を使用してください。
+    > [!WARNING]
+    > 複合した閲覧コンテキストやワーカーを制御するには、 **`child-src`** の代わりに、それぞれ {{CSP("frame-src")}} および {{CSP("worker-src")}} を使用してください。
 
 - {{CSP("connect-src")}}
   - : スクリプトインターフェイスによって読み込まれる URL を制限します。

@@ -76,7 +76,7 @@ document.getElementById("btn").addEventListener("click", doSomething);
 
 ### 安全ではないインラインスクリプト
 
-> **メモ:**
+> [!NOTE]
 > インラインスタイルとインラインスクリプトを禁止することは、CSP が提供するセキュリティ上の最大の利点の一つです。
 > どうしても使用しなければならない場合は、それらを許可する仕組みがいくつかあります。
 > ハッシュはインラインのスクリプトやスタイルに適用されますが、イベントハンドラーには適用されません。

@@ -39,7 +39,8 @@ HTTP の {{HTTPHeader("Content-Security-Policy")}} (CSP) ヘッダーディレ
     - `blob:` コンテンツのソースとして [`blob:` URI](/ja/docs/Web/API/Blob) が使えるようにします。
     - `filesystem:` コンテンツのソースとして [`filesystem:` URI](/ja/docs/Web/API/FileSystem) が使えるようにします。
 
-    > **メモ:** スキームソースがない場合、文書のオリジンのスキームが使用されます。
+    > [!NOTE]
+    > スキームソースがない場合、文書のオリジンのスキームが使用されます。
     > セキュアアップグレードは許可されているので、`https:` を使用して文書を読み込んだ場合、`example.com` は `https://example.com` に一致しますが、`http://example.com` には一致しません。
     > 詳しい情報は、 [CSP Level 3](https://www.w3.org/TR/CSP3/#match-url-to-source-list) を参照してください。
 
@@ -70,7 +71,8 @@ HTTP の {{HTTPHeader("Content-Security-Policy")}} (CSP) ヘッダーディレ
     例えば[安全でないインラインスクリプト](/ja/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#unsafe_inline_script)を参照してください。
     ノンスを指定すると、最近のブラウザーは、ノンスの対応がない古いブラウザーのために設定されている可能性がある `'unsafe-inline'` を無視するようになります。
 
-    > **メモ:** CSP の `nonce` ソースは _ノンス指定可能_ な要素にのみ適用できます（例えば {{HTMLElement("img")}} 要素には `nonce` 属性がないので、この CSP ソースに関連付ける方法はありません）。
+    > [!NOTE]
+    > CSP の `nonce` ソースは _ノンス指定可能_ な要素にのみ適用できます（例えば {{HTMLElement("img")}} 要素には `nonce` 属性がないので、この CSP ソースに関連付ける方法はありません）。
 
 - `'<hash-algorithm>-<base64-value>'`
   - : スクリプトまたはスタイルの sha256, sha384, sha512 の何れかのハッシュです。

@@ -98,7 +98,8 @@ document.querySelector("div").style.display = "none";
 
 ### 安全ではないインラインスタイル
 
-> **メモ:** インラインスタイルとインラインスクリプトを禁止することは、 CSP が提供する最大のセキュリティ上の利点の一つです。しかし、どうしても使用しなければならない場合は、それらを許可する仕組みがいくつかあります。
+> [!NOTE]
+> インラインスタイルとインラインスクリプトを禁止することは、 CSP が提供する最大のセキュリティ上の利点の一つです。しかし、どうしても使用しなければならない場合は、それらを許可する仕組みがいくつかあります。
 
 インラインスタイルを許可するために、 `'unsafe-inline'` を指定するか、インラインブロックに一致するノンスソースまたはハッシュソースを指定することができます。
 

@@ -24,7 +24,8 @@ slug: Web/HTTP/Headers/Device-Memory
   </tbody>
 </table>
 
-> **メモ:** クライアントヒントには、安全なオリジン（TLS 経由）でのみアクセスできます。 サーバーは、{{HTTPHeader("Accept-CH")}} および {{HTTPHeader("Accept-CH-Lifetime")}} のレスポンスヘッダーを送信することによって、クライアントから `Device-Memory` ヘッダーを受信することを選択する必要があります。
+> [!NOTE]
+> クライアントヒントには、安全なオリジン（TLS 経由）でのみアクセスできます。 サーバーは、{{HTTPHeader("Accept-CH")}} および {{HTTPHeader("Accept-CH-Lifetime")}} のレスポンスヘッダーを送信することによって、クライアントから `Device-Memory` ヘッダーを受信することを選択する必要があります。
 
 ## 構文
 

@@ -24,7 +24,8 @@ slug: Web/HTTP/Headers/DPR
   </tbody>
 </table>
 
-> **メモ:** クライアントヒントには、安全なオリジン（TLS 経由）でのみアクセスできます。 サーバーは、{{HTTPHeader("Accept-CH")}} および {{HTTPHeader("Accept-CH-Lifetime")}} のレスポンスヘッダーを送信することによって、クライアントから `DPR` ヘッダーを受信することを選択する必要があります。
+> [!NOTE]
+> クライアントヒントには、安全なオリジン（TLS 経由）でのみアクセスできます。 サーバーは、{{HTTPHeader("Accept-CH")}} および {{HTTPHeader("Accept-CH-Lifetime")}} のレスポンスヘッダーを送信することによって、クライアントから `DPR` ヘッダーを受信することを選択する必要があります。
 
 ## 構文
 

@@ -13,9 +13,11 @@ CT の要件は、以下のいずれかの仕組みで満たすことができ
 - ハンドシェイク中に送信される `signed_certificate_timestamp` 型の TLS 拡張
 - OCSP ステープリング (つまり、 `status_request` TLS 拡張) に対応し、 `SignedCertificateTimestampList` を提供すること
 
-> **メモ:** サイトが `Expect-CT` ヘッダーを有効にすると、ブラウザーが**[公開 CT ログ](https://www.certificate-transparency.org/known-logs)**に現れるサイトのすべての認証情報をチェックするよう要求します。
+> [!NOTE]
+> サイトが `Expect-CT` ヘッダーを有効にすると、ブラウザーが**[公開 CT ログ](https://www.certificate-transparency.org/known-logs)**に現れるサイトのすべての認証情報をチェックするよう要求します。
 
-> **メモ:** ブラウザーは、 HTTP では `Expect-CT` ヘッダーを**無視**し、 HTTPS 接続でのみ効果を発揮します。
+> [!NOTE]
+> ブラウザーは、 HTTP では `Expect-CT` ヘッダーを**無視**し、 HTTPS 接続でのみ効果を発揮します。
 
 > **メモ:** `Expect-CT` は 2021 年 6 月に廃止される可能性が高いです。 2018 年 5 月以降、新しい証明書は既定で SCT に対応することが期待されています。 2018 年 3 月以前の証明書は 39 ヶ月の有効期限が認められていましたが、それらが 2021 年 6 月にすべて失効します。
 

@@ -9,7 +9,8 @@ slug: Web/HTTP/Headers/Expires
 
 値 0 のような無効な日付は過去の日付を表し、リソースがすでに有効期限切れであることを意味します。
 
-> **メモ:** レスポンスに `max-age` または `s-maxage` ディレクティブを持つ {{HTTPHeader("Cache-Control")}} ヘッダーがある場合、`Expires` ヘッダーは無視されます。
+> [!NOTE]
+> レスポンスに `max-age` または `s-maxage` ディレクティブを持つ {{HTTPHeader("Cache-Control")}} ヘッダーがある場合、`Expires` ヘッダーは無視されます。
 
 <table class="properties">
   <tbody>