HTTPヘッダーチェッカー
任意のURLのHTTPレスポンスヘッダー、セキュリティ設定、リダイレクトチェーン、サーバー動作を分析。
HTTPヘッダーとは?
HTTPヘッダーは、ブラウザとウェブサーバー間のすべてのリクエストとレスポンスで送信されるキーと値のペアです。配信されるコンテンツタイプ、キャッシュ指示、セキュリティポリシー、認証トークンなどの重要なメタデータを運びます。
レスポンスヘッダーは、ブラウザがページをレンダリングし、リソースをキャッシュし、セキュリティを適用する方法を制御します。ヘッダーの設定ミスは、パフォーマンスの問題、セキュリティの脆弱性、機能の障害を引き起こす可能性があります。そのためヘッダーの確認はウェブ開発とサーバー管理の基本です。
一般的なヘッダーには Content-Type (データ形式をブラウザに伝える)、 Cache-Control (リソースのキャッシュ期間)、 Set-Cookie (セッションデータを保存)があります。
重要なセキュリティヘッダー
セキュリティヘッダーは、サイトのコンテンツを処理する際のブラウザの動作を指定します。ヘッダーが欠けていると、クロスサイトスクリプティング、クリックジャッキング、データインジェクションなどの攻撃に対してユーザーが脆弱になります。
Strict-Transport-Security (HSTS)
ユーザーがhttp://と入力しても、ブラウザにHTTPSのみで接続するよう指示します。SSLストリッピング攻撃を防ぎます。 max-age=31536000; includeSubDomains
Content-Security-Policy (CSP)
最も強力なセキュリティヘッダーです。スクリプト、スタイル、画像などのリソースの承認済みソースを定義します。インラインスクリプトと未承認の外部コンテンツをブロックし、XSS攻撃を大幅に困難にします。
X-Content-Type-Options
nosniff に設定すると、ブラウザによるMIMEタイプの推測を防ぎます。これがないと、ブラウザがアップロードされたファイルをスクリプトとして実行する可能性があります。
Referrer-Policy
サイトから離れる際に共有されるURL情報の量を制御します。 strict-origin-when-cross-origin が良いデフォルトです。クロスオリジンリクエストにはオリジンを、同一オリジンには完全なURLを送信します。