# HTTPセキュリティヘッダーチェッカー > localhost、ステージング、プライベート環境向けの無料貼り付けモードHTTPセキュリティヘッダーチェッカーです。公開URLを取得することなくヘッダーを解析します。 - **Category:** 開発者 - **URL:** https://www.teafun.cyou/tools/http-headers-checker/ - **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking. - **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers - **Related tools:** [ログフォーマッター](https://www.teafun.cyou/tools/log-formatter/), [JWTデコーダー](https://www.teafun.cyou/tools/jwt-decoder/), [JSONフォーマッター&バリデーター](https://www.teafun.cyou/tools/json-formatter/) - **Tags:** Data, Security ## About 生のレスポンスヘッダーまたはcurl -Iの出力を貼り付けて、CSP、HSTS、COOPなどの一般的なセキュリティヘッダーをローカルで確認できます。 ## HTTPセキュリティヘッダーチェッカーの使い方 `curl -sI https://your.endpoint/`を実行するか、DevTools → ネットワーク → ヘッダー → レスポンスからコピーします。ステータスライン(`HTTP/2 200`)を含む完全なブロックを貼り付けます。チェッカーはリダイレクト(`301`/`302`/`307`/`308`)を許容し、最終レスポンスをスコアリングします。各ヘッダーはOWASP推奨値に対して評価されます:Pass(推奨値に一致)、Warn(存在するが弱い——例:HSTS `max-age=300`は効果的であるには短すぎる)、Fail(不在または主動的に不安全——例:認証情報が必要なエンドポイントへの`Access-Control-Allow-Origin: *`)。レポートは各発見を関連するMDNドキュメントとOWASPチートシートにリンクします。一般的な落とし穴:`X-Frame-Options: DENY`と`Content-Security-Policy: frame-ancestors 'none'`の両方を設定するのは冗長ですが間違いではありません——`frame-ancestors`は最新ブラウザで優先、X-Frame-Optionsはレガシー用に残ります。CSPの`script-src`の`'unsafe-inline'`はXSS保護ポリシーを無効化;CSPの残りが堅牢でもFailと標記されます。 ## HTTPセキュリティヘッダーが重要な理由 セキュリティヘッダーの欠落はペネトレーションテストで最も一般的な発見です。なぜなら見えないからです:サイトが正しいHTMLを配信していても、レスポンスヘッダーが間違っていると監査に落ちます。PCI DSS 4.0(2025年3月)、SOC 2 Trust Service Criteria、ISO 27001:2022 Annex A 8.26はすべてCSP / HSTS / X-Frame-Optionsの欠落を制御漏洞として標記します。修正のコストはリバースプロキシの1行(nginxでは`add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;`、`vercel.json`ヘッダーではブロック1つ、Cloudflare Workersでは3行)——ですが監査人や競合企業のセキュリティ記事が明かすまで発見されません。CI統合ヘッダーチェックはリグレッションを検出します:誰かがデバッグ時に間違ったルールをコピーペーストしたため、デプロイがCSPを`default-src 'self'`から`default-src *`に反転させた場合など。デプロイPRをマージする前にこのチェッカーを通してヘッダーを実行すれば、その差分を捕捉できます。 _SEO title: HTTPセキュリティヘッダーチェッカー – 貼り付けモード | TeaFun_ ## FAQ ### localhostやステージング環境のヘッダーを貼り付けできますか? はい。このツールは貼り付けモード専用に設計されており、URLを公開することなく、localhost、内部ステージング、プライベート環境のヘッダーを確認できます。 ### なぜURLを直接取得しないのですか? URLを直接取得すると多くのプライベート環境で失敗し、内部エンドポイントが漏洩する可能性があります。貼り付けモードはワークフローをプライベートに保ち、curlやブラウザ開発者ツールでヘッダーをコピーできる場所ならどこでも動作します。 ### 高スコアはセキュリティを保証しますか? いいえ。このチェッカーは一般的なレスポンスヘッダーと典型的な設定ミスを指摘しますが、完全なアプリケーションセキュリティ監査ではありません。