HTTPヘッダー確認 & セキュリティ診断｜A+〜Fスコアリング

HTTPヘッダー確認 & セキュリティ診断とは？

URLを入力するだけで、Webサイトの全HTTPレスポンスヘッダーを一覧表示し、セキュリティヘッダーの設定状況をA+〜Fでスコアリングする無料オンラインツールです。

CSP・HSTS・X-Frame-Options・X-Content-Type-Options・Referrer-Policy・Permissions-Policy・X-XSS-Protectionの7つのセキュリティヘッダーをチェックし、各ヘッダーごとに合否判定・日本語解説・Apache/Nginx設定例を表示します。さらに、Cache-ControlやContent-Encodingなどのパフォーマンスヘッダーも評価します。

活用シーン

使い方

1. 上部の入力欄にチェックしたいWebサイトのURL（例: https://example.com）を入力
2. 「チェック」ボタンをクリック
3. 3つのタブで結果を確認:
   • 📋 全ヘッダー: 全HTTPレスポンスヘッダーの一覧（フィルター検索対応）
   • 🛡️ セキュリティ診断: A+〜Fスコアリングと各ヘッダーの詳細評価
   • ⚡ パフォーマンス: キャッシュ・圧縮などのパフォーマンスヘッダー評価
4. 未設定のヘッダーには推奨設定（Apache/Nginx）が表示されるので、コピーして適用

セキュリティヘッダー用語集

Content-Security-Policy (CSP)

ブラウザが読み込み可能なリソースのソースを制限するヘッダー。XSS攻撃を防ぐ最も強力な防御機構です。

Strict-Transport-Security (HSTS)

ブラウザに対してHTTPS接続のみを使用するよう強制するヘッダー。max-ageで有効期間を秒数で指定します。

X-Frame-Options

ページがiframe内に埋め込まれることを制限するヘッダー。クリックジャッキング攻撃を防止します。

X-Content-Type-Options

ブラウザによるMIMEタイプの推測を防止するヘッダー。値はnosniffのみ。

Referrer-Policy

ページ遷移時にリファラー情報をどの程度送信するかを制御するヘッダー。

Permissions-Policy

ブラウザの機能（位置情報、カメラ等）へのアクセスを制御するヘッダー。旧名Feature-Policy。

Cache-Control

キャッシュの動作を制御するヘッダー。max-ageでキャッシュ有効期間を指定します。

Content-Encoding

レスポンスボディの圧縮方式を示すヘッダー。gzipやBrotli(br)が一般的です。

よくある質問（FAQ）

セキュリティヘッダーはSEOに影響しますか？

直接的なランキング要因ではありませんが、HTTPS対応はGoogleのランキングシグナルです。セキュリティインシデントは間接的にSEOに悪影響を与えます。

すべてのヘッダーを設定する必要がありますか？

最低限、CSP・HSTS・X-Frame-Options・X-Content-Type-Optionsの4つは必須です。残りも設定を推奨します。

CSP設定でサイトが壊れた場合は？

Content-Security-Policy-Report-Onlyで試し、DevToolsでエラーを確認しながら調整してください。

共用レンタルサーバーでも設定できますか？

多くのサーバーで.htaccessでのヘッダー設定が可能です。mod_headersが有効である必要があります。

Fランクだとすぐ攻撃されますか？

直ちに攻撃されるわけではありませんが、攻撃が成功しやすくなります。設定コストは低いため早めの対応を推奨します。