HTTPヘッダーチェッカー
任意のURLのHTTPレスポンスヘッダーを評価します。HSTS、Content-Security-Policy、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、クロスオリジン分離 (COOP/COEP/CORP)、Cookie属性をチェックし、不足している点の修正方法を説明します。
リダイレクト
評価
Cookie
レスポンスヘッダー(生データ)
このHTTPヘッダーチェッカーの機能
任意の公開URLを入力すると、サーバー側で取得し、生のHTTPレスポンスヘッダー(サーバーが各ページとともに送信する、目に見えない指示)を読み取ります。セキュリティに関連するヘッダーを解析し、最新のベストプラクティスに照らしてそれぞれを評価し、各項目について簡潔な説明と具体的な改善案を添えたA〜Fの評価を返します。
「ヘッダーが存在するか」を確認するだけの単純なチェックとは異なり、このツールは各ヘッダーの内部まで読み取ります。CSPディレクティブ、HSTSのmax-age値、Cookie属性、Permissions-Policyを解析し、最新のframe-ancestorsの隣に古いX-Frame-Optionsがあるといった矛盾を検出します。
チェック対象
- トランスポート:HTTPSとStrict-Transport-Security (HSTS) の強度。
- コンテンツセキュリティ:Content-Security-Policyの品質、クリックジャッキング対策 (frame-ancestors / X-Frame-Options)、X-Content-Type-Options。
- クロスオリジン分離:COOP、COEP、CORP。
- プライバシーとポリシー:Referrer-PolicyとPermissions-Policy。
- Cookie:各Set-CookieのSecure・HttpOnly・SameSite属性。
- 情報漏えい:ServerおよびX-Powered-Byのバージョン露出。
評価の仕組み
各ヘッダーは重要度に応じて重み付けされ、0〜1の部分スコア(合格/一部/不合格)を与えます。最終スコアは、該当するすべてのチェックの加重平均を四捨五入し、評価に変換したものです。Aは90以上、Bは80以上、Cは70以上、Dは60以上、Fは60未満。整合性チェック(冗長なX-Frame-Optionsなど)は参考として表示されますが、スコアには影響しません。
よくある質問
このツールは私のサイトに何か変更を加えますか?
いいえ。読み取り専用のリクエストを1回だけ送信し、レスポンスヘッダーを解析します。何も変更されず、偽装したクロスオリジンリクエストのような能動的なテストは一切行いません。
なぜ私のCSPは警告だけだったのですか?
Content-Security-Policyは、存在の有無だけでなく品質で評価されます。script-src内の'unsafe-inline'や'unsafe-eval'、またはワイルドカード*などのソースはポリシーを弱め、部分点にとどまります。インラインスクリプトにはnonceまたはハッシュを使用すると満点に到達できます。
TLSや証明書の設定もチェックしますか?
ここでは行いません。このツールはレスポンスヘッダーに特化しています。暗号スイートや証明書チェーンは別の領域であり、専用のTLSアナライザーをご利用ください。
レポートはキャッシュされますか?
はい、URLごとに1時間キャッシュされます。セキュリティヘッダーは修正中に頻繁に変わるため、他のツールより短く設定しています。キャッシュからの結果はレポート内に明示されます。