HTTPセキュリティヘッダーチェッカー
生のレスポンスヘッダーまたはcurl -Iの出力を貼り付けて、CSP、HSTS、COOPなどの一般的なセキュリティヘッダーをローカルで確認できます。
生のレスポンスヘッダーまたはcurl -Iの出力を貼り付けてください。リダイレクトが含まれる場合、最後のレスポンスブロックが採点対象になります。
生の HTTP レスポンスヘッダーまたは curl -I の出力を貼り付けてください
HTTPセキュリティヘッダーチェッカーとは?
HTTPセキュリティヘッダーチェッカーは、OWASPセキュリティベストプラクティスに基づいてレスポンスヘッダーを分析し、0〜100のスケールでスコアリングします。Content-Security-Policy(CSP)、Strict-Transport-Security(HSTS)、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy、およびCOOP、COEP、CORPを含むCross-Originヘッダーを評価します。公開URLを取得するオンラインスキャナーと異なり、このツールはペーストモードで動作します——curl -Iの出力、ブラウザDevTools、またはリバースプロキシログから生のヘッダーをコピーしてチェッカーに直接貼り付けます。この設計は、localhostの開発サーバー、VPN越しのステージング環境、内部API、および公開アクセスできないエンドポイントに最適です。URLの取得もエンドポイントの露出もヘッダーデータの送信もありません。
HTTPセキュリティヘッダーチェッカーの使い方
対象URLでcurl -Iを実行するか、ブラウザDevToolsのNetworkタブからレスポンスヘッダーをコピーします。生のヘッダーを入力フィールドに貼り付けます——ステータスラインを含む完全なcurl出力も受け付けます。「ヘッダーを分析」をクリックしてセキュリティレポートを生成します。各ヘッダーはPass、Warn、またはFailで採点され、説明が付きます。ペーストに複数のレスポンスブロック(リダイレクトチェーンなど)が含まれる場合、チェッカーは最後のレスポンスを採点します。不合格のチェックを確認し、サーバー設定を更新し、新しいヘッダーを貼り付けて再テストしてください。
HTTPセキュリティヘッダーが重要な理由
セキュリティヘッダーは、XSS、クリックジャッキング、MIMEスニッフィング、データインジェクション攻撃に対する最初の防衛線です。OWASPは、セキュリティヘッダーの欠如をWebアプリケーションの一般的な設定ミスとしてリストしています。Content-Security-Policyが欠如すると、注入されたスクリプトが自由に実行されます。HSTSがなければ、中間者攻撃でユーザーがHTTPにダウングレードされる可能性があります。X-Frame-Optionsがなければクリックジャッキングが可能になります。セキュリティ監査、ペネトレーションテスト、コンプライアンスフレームワーク(PCI DSS、SOC 2)はすべてこれらのヘッダーをチェックします。ヘッダーチェックをCI/CDパイプラインに統合し——テストデプロイメントからヘッダーをエクスポートし、ここに貼り付け、スコアを確認——することで、本番環境に到達する前にリグレッションを検出できます。
よくある質問
localhostやステージング環境のヘッダーを貼り付けできますか?
はい。このツールは貼り付けモード専用に設計されており、URLを公開することなく、localhost、内部ステージング、プライベート環境のヘッダーを確認できます。
なぜURLを直接取得しないのですか?
URLを直接取得すると多くのプライベート環境で失敗し、内部エンドポイントが漏洩する可能性があります。貼り付けモードはワークフローをプライベートに保ち、curlやブラウザ開発者ツールでヘッダーをコピーできる場所ならどこでも動作します。
高スコアはセキュリティを保証しますか?
いいえ。このチェッカーは一般的なレスポンスヘッダーと典型的な設定ミスを指摘しますが、完全なアプリケーションセキュリティ監査ではありません。
このツールを大きな作業フローの中で使う
これらのコレクションは、同じ作業でよく続けて使うツールやガイドをまとめています。
同じタグを見る
同じワークフロー、形式、用途を持つ別のツールへすぐ移動できます。