← セキュリティ

HTTP セキュリティヘッダ チェッカー

HTTP レスポンスヘッダを貼り付けるだけで、CSP / HSTS / XFO / 各種 Cross-Origin ヘッダを網羅的にチェックし、A+〜F のスコアと改善提案を表示します。

curl -I https://example.com や DevTools の「Copy all headers」の出力をそのまま貼り付け

スキーム 対象サイトのスキーム: (HSTS 評価に影響)

このツールについて

HTTP レスポンスヘッダを貼り付けると、現代の Web セキュリティ推奨基準(OWASP / Mozilla Observatory / Securityheaders.com 等)に照らして評価し、A+〜F のスコアで判定します。サーバ側で対象 URL に通信は行いません。すべてあなたのブラウザ内で完結します。

使い方

  1. 対象サイトのレスポンスヘッダをローカルで取得:
    curl -I https://example.com
    または、Chrome / Edge / Firefox の DevTools → Network タブ → 該当リクエスト → 右クリック →「Copy all headers」
  2. 貼り付けて「解析する」
  3. 結果のスコア・グレードと、ヘッダごとの評価・改善提案を確認

チェック対象ヘッダ

  • Strict-Transport-Security (HSTS) — HTTPS 強制、中間者攻撃対策
  • Content-Security-Policy (CSP) — XSS / リソース読み込み制御
  • X-Frame-Options — クリックジャッキング対策
  • X-Content-Type-Options — MIME タイプスニッフィング無効化
  • Referrer-Policy — Referer 情報量制御
  • Permissions-Policy — カメラ / マイク / 位置情報の許可制御
  • Cross-Origin-Opener-Policy (COOP) — popup ハイジャック防止
  • Cross-Origin-Embedder-Policy (COEP) — 埋め込みリソース制御
  • Cross-Origin-Resource-Policy (CORP) — サイドチャネル防御
  • X-XSS-Protection — 古いブラウザの XSS フィルタ(OFF が現代推奨)
  • Server / X-Powered-By — 情報漏洩防止

注意

  • スコア・グレードは「目安」です。サービスの性質(公開 API / SPA / static など)によって最適解は変わります。
  • HSTS の評価は「対象サイトのスキーム」設定に応じて変わります(HTTP サイトでは N/A 扱い)。
  • すべての処理はブラウザ内で行われ、貼り付けた内容は外部サーバには送信されません。

フィードバック

関連ページ(自動入力) /
種類

5 文字以上、5,000 文字以内 0 / 5000

送信内容は運営者にのみ通知されます。