win-j 로고
자유로운 블로그

Developer Network Utility

HTTP Header Analyzer

HTTP レスポンスヘッダーを貼り付けるだけで、セキュリティヘッダー、キャッシュポリシー、CORS 設定、コンテンツタイプ、Cookie セキュリティオプションをまとめて確認できる開発者向け Header 分析ツールです。

セキュリティヘッダーチェック HSTS、CSP、X-Frame-Options、Referrer-Policy など主要なセキュリティヘッダーを確認します。
キャッシュポリシー分析 Cache-Control、ETag、Expires 設定を確認し、静的ファイルや HTML のキャッシュ状態を点検します。
CORS・Cookie 確認 Access-Control ヘッダーと Set-Cookie の Secure、HttpOnly、SameSite オプションを確認します。

HTTP Header 入力

ブラウザ開発者ツールの Network タブ、または curl -I の結果からレスポンスヘッダーをコピーして貼り付けてください。

分析基準 レスポンスヘッダー名は大文字・小文字を区別せずに分析します。
推奨チェック セキュリティヘッダー、キャッシュヘッダー、CORS、Cookie オプションを総合してスコアを計算します。
Header 分析スコア 0点

レスポンスヘッダーを入力して分析を実行してください。

0%

分析結果

主要な HTTP Header の有無と推奨状態を、良好・注意・危険の基準で確認します。

待機中
まだ分析結果はありません。

解析された Header

入力されたレスポンスヘッダーを key-value 形式で表示します。

まだ解析されたヘッダーはありません。

詳細レポート

分析結果をコピーまたはダウンロードして、サーバー設定改善チェックリストとして利用できます。

HTTP レスポンスヘッダーを入力して、HTTP Header 分析ボタンを押してください。

Header チェック項目比較

HTTP Header には、セキュリティ、キャッシュ、CORS、Cookie ポリシーのように運用品質へ直結する項目が含まれます。

セキュリティ Header

HSTS、CSP、X-Frame-Options、X-Content-Type-Options は HTTPS 強制、クリックジャッキング防止、MIME スニッフィング防止に役立ちます。

キャッシュ Header

Cache-Control、ETag、Expires はブラウザキャッシュや CDN キャッシュ戦略を判断するために使われます。

CORS・Cookie

Access-Control-Allow-Origin と Set-Cookie オプションは、外部リクエスト許可範囲とセッション保護状態の確認に重要です。

ヘルプ

HTTP Header Analyzer とは?

HTTP Header Analyzer は、Web サイトのレスポンスヘッダーを貼り付けて、セキュリティ、キャッシュ、CORS、コンテンツタイプ、Cookie セキュリティ設定を素早く確認できる無料の開発者向けユーティリティです。

Nginx、Apache、Django、Node.js、CDN、リバースプロキシ設定の確認や、デプロイ前のセキュリティヘッダー漏れ確認に利用できます。

主なチェック項目

  • Strict-Transport-Security: HTTPS 強制使用の有無
  • Content-Security-Policy: スクリプト、画像、フレームの参照元制限
  • X-Frame-Options: クリックジャッキング防止
  • X-Content-Type-Options: MIME タイプスニッフィング防止
  • Referrer-Policy: 外部遷移時の referrer 送信範囲制御
  • Permissions-Policy: ブラウザ機能の使用権限制限
  • Cache-Control: ブラウザキャッシュポリシー
  • Set-Cookie: Secure、HttpOnly、SameSite オプション確認

活用例

  • Web サイト公開前のセキュリティヘッダー漏れ確認
  • Nginx または Apache のレスポンスヘッダー設定確認
  • Django、Node.js、Spring サービスのセキュリティヘッダー確認
  • CDN 適用後のキャッシュポリシー確認
  • CORS エラー原因の確認
  • Cookie セキュリティオプション確認
HTTP Header はどこで確認できますか?

ブラウザ開発者ツールの Network タブでリクエストを選択し Response Headers をコピーするか、ターミナルで curl -I https://example.com を実行して確認できます。

HSTS は必ず有効にしてもよいですか?

HSTS は HTTPS 使用を強制する強力なセキュリティヘッダーです。サイト全体とサブドメインが HTTPS で安定して動作する場合に適用するのが安全です。誤って適用すると HTTP が必要なサブドメインに問題が起こる可能性があります。

CSP がないと危険ですか?

Content-Security-Policy は XSS 攻撃の緩和に役立つ重要なセキュリティヘッダーです。ただし、サービスで使用するスクリプト、画像、CDN の参照元を把握したうえで段階的に適用するのが安全です。

Cache-Control はどう設定すべきですか?

画像、CSS、JS などの静的ファイルは長めのキャッシュを利用できますが、HTML やユーザーごとのレスポンスは短いキャッシュまたは no-cache 戦略が必要な場合があります。

Access-Control-Allow-Origin: * は安全ですか?

公開 API や静的リソースでは使用できる場合がありますが、認証情報を含むリクエストでは注意が必要です。Cookie や認証トークンを使う API は、許可する origin を明確に制限することを推奨します。

Set-Cookie セキュリティオプションはなぜ重要ですか?

Secure は HTTPS のみで Cookie を送信し、HttpOnly は JavaScript からの Cookie アクセスを制限し、SameSite は CSRF リスクの低減に役立ちます。

このツールだけでセキュリティチェックは完了しますか?

いいえ。このツールは貼り付けた HTTP Header テキストを素早く確認する補助ツールです。実際のセキュリティはサーバー設定、アプリケーションコード、認証方式、Cookie ポリシー、HTTPS 構成もあわせて確認する必要があります。