HTTPセキュリティヘッダーチェッカー
生のレスポンスヘッダーまたはcurl -Iの出力を貼り付けて、CSP、HSTS、COOPなどの一般的なセキュリティヘッダーをローカルで確認できます。
生のレスポンスヘッダーまたはcurl -Iの出力を貼り付けてください。リダイレクトが含まれる場合、最後のレスポンスブロックが採点対象になります。
0 バイト
生の HTTP レスポンスヘッダーまたは curl -I の出力を貼り付けてください
HTTPセキュリティヘッダーチェッカーをテストしました — 次は ログフォーマッター を試そう →
HTTPセキュリティヘッダーチェッカーとは?
HTTPセキュリティヘッダーはブラウザに、クロスオリジンリクエスト、スクリプト実行、混合コンテンツ、埋め込みコンテキストをどのように扱うかを指示します——これらは導入できる最も安い強化です。なぜなら唯一のコストは設定編集だからです。チェッカーはOWASP Secure Headers Projectの推奨事項とMozilla Observatoryのルーブリックに基づいてスコアリングします。評価する主要なヘッダー:Content-Security-Policy(ホワイトリスト許可されたスクリプト/スタイル/img出身地;default-src 'self'ベースラインはほとんどのXSSをブロック)、Strict-Transport-Security(HSTS——max-age秒間HTTPSを強制;>=31536000の値にincludeSubDomains; preloadを付けるとhstspreload.orgのHSTSPreloadリストに適格、Chrome/Firefox/Safariに組み込み)、X-Content-Type-Options: nosniff(ブラウザが.txtをHTMLと誤認識するのを防止)、X-Frame-Options: DENY / CSP frame-ancestors(クリックジャッキング対策——frame-ancestorsは最新のCSP等価で、X-Frame-Optionsを上書き)、Referrer-Policy(どのOrigin/パスが第三者に漏洩するかを制御)、Permissions-Policy(かつてのFeature-Policy——カメラ、マイク、地理情報を拒否)、およびSharedArrayBufferと高分解能タイマーを制御するCross-Origin IsolationトリオCOOP / COEP / CORP。URLベースのスキャナー(securityheaders.com、Mozilla Observatory)と異なり、このツールはcurl -IやDevToolsから貼り付けたヘッダーを受け入れるため、VPNやlocalhostの背後にある内部エンドポイントもそれを公開することなくスコアリング可能です。
HTTPセキュリティヘッダーチェッカーの使い方
curl -sI https://your.endpoint/を実行するか、DevTools → ネットワーク → ヘッダー → レスポンスからコピーします。ステータスライン(HTTP/2 200)を含む完全なブロックを貼り付けます。チェッカーはリダイレクト(301/302/307/308)を許容し、最終レスポンスをスコアリングします。各ヘッダーはOWASP推奨値に対して評価されます:Pass(推奨値に一致)、Warn(存在するが弱い——例:HSTS max-age=300は効果的であるには短すぎる)、Fail(不在または主動的に不安全——例:認証情報が必要なエンドポイントへのAccess-Control-Allow-Origin: *)。レポートは各発見を関連するMDNドキュメントとOWASPチートシートにリンクします。一般的な落とし穴:X-Frame-Options: DENYとContent-Security-Policy: frame-ancestors 'none'の両方を設定するのは冗長ですが間違いではありません——frame-ancestorsは最新ブラウザで優先、X-Frame-Optionsはレガシー用に残ります。CSPのscript-srcの'unsafe-inline'はXSS保護ポリシーを無効化;CSPの残りが堅牢でもFailと標記されます。
HTTPセキュリティヘッダーが重要な理由
セキュリティヘッダーの欠落はペネトレーションテストで最も一般的な発見です。なぜなら見えないからです:サイトが正しいHTMLを配信していても、レスポンスヘッダーが間違っていると監査に落ちます。PCI DSS 4.0(2025年3月)、SOC 2 Trust Service Criteria、ISO 27001:2022 Annex A 8.26はすべてCSP / HSTS / X-Frame-Optionsの欠落を制御漏洞として標記します。修正のコストはリバースプロキシの1行(nginxではadd_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;、vercel.jsonヘッダーではブロック1つ、Cloudflare Workersでは3行)——ですが監査人や競合企業のセキュリティ記事が明かすまで発見されません。CI統合ヘッダーチェックはリグレッションを検出します:誰かがデバッグ時に間違ったルールをコピーペーストしたため、デプロイがCSPをdefault-src 'self'からdefault-src *に反転させた場合など。デプロイPRをマージする前にこのチェッカーを通してヘッダーを実行すれば、その差分を捕捉できます。
よくある質問
localhostやステージング環境のヘッダーを貼り付けできますか?
はい。このツールは貼り付けモード専用に設計されており、URLを公開することなく、localhost、内部ステージング、プライベート環境のヘッダーを確認できます。
なぜURLを直接取得しないのですか?
URLを直接取得すると多くのプライベート環境で失敗し、内部エンドポイントが漏洩する可能性があります。貼り付けモードはワークフローをプライベートに保ち、curlやブラウザ開発者ツールでヘッダーをコピーできる場所ならどこでも動作します。
高スコアはセキュリティを保証しますか?
いいえ。このチェッカーは一般的なレスポンスヘッダーと典型的な設定ミスを指摘しますが、完全なアプリケーションセキュリティ監査ではありません。
このツールを大きな作業フローの中で使う
これらのコレクションは、同じ作業でよく続けて使うツールやガイドをまとめています。
同じタグを見る
同じワークフロー、形式、用途を持つ別のツールへすぐ移動できます。