← セキュリティ
HTTP セキュリティヘッダ チェッカー
HTTP レスポンスヘッダを貼り付けるだけで、CSP / HSTS / XFO / 各種 Cross-Origin ヘッダを網羅的にチェックし、A+〜F のスコアと改善提案を表示します。
curl -I https://example.com や DevTools の「Copy all headers」の出力をそのまま貼り付け
このツールについて
HTTP レスポンスヘッダを貼り付けると、現代の Web セキュリティ推奨基準(OWASP / Mozilla Observatory / Securityheaders.com 等)に照らして評価し、A+〜F のスコアで判定します。サーバ側で対象 URL に通信は行いません。すべてあなたのブラウザ内で完結します。
使い方
- 対象サイトのレスポンスヘッダをローカルで取得:
または、Chrome / Edge / Firefox の DevTools → Network タブ → 該当リクエスト → 右クリック →「Copy all headers」curl -I https://example.com - 貼り付けて「解析する」
- 結果のスコア・グレードと、ヘッダごとの評価・改善提案を確認
チェック対象ヘッダ
- Strict-Transport-Security (HSTS) — HTTPS 強制、中間者攻撃対策
- Content-Security-Policy (CSP) — XSS / リソース読み込み制御
- X-Frame-Options — クリックジャッキング対策
- X-Content-Type-Options — MIME タイプスニッフィング無効化
- Referrer-Policy — Referer 情報量制御
- Permissions-Policy — カメラ / マイク / 位置情報の許可制御
- Cross-Origin-Opener-Policy (COOP) — popup ハイジャック防止
- Cross-Origin-Embedder-Policy (COEP) — 埋め込みリソース制御
- Cross-Origin-Resource-Policy (CORP) — サイドチャネル防御
- X-XSS-Protection — 古いブラウザの XSS フィルタ(OFF が現代推奨)
- Server / X-Powered-By — 情報漏洩防止
注意
- スコア・グレードは「目安」です。サービスの性質(公開 API / SPA / static など)によって最適解は変わります。
- HSTS の評価は「対象サイトのスキーム」設定に応じて変わります(HTTP サイトでは N/A 扱い)。
- すべての処理はブラウザ内で行われ、貼り付けた内容は外部サーバには送信されません。