HTTPセキュリティヘッダ診断
URLにアクセスし、HSTS・CSP・X-Frame-Options などの主要なセキュリティヘッダの設定状況を採点します。
このHTTPセキュリティヘッダ診断について
このツールは入力したURLを取得し(リダイレクトを追跡)、ブラウザが解釈するセキュリティヘッダを採点します。各ヘッダについて設定済み/注意/未設定と短い対処法を表示します。スコアが高いほど、XSS・クリックジャッキング・プロトコルダウングレード・MIMEスニッフィングに対する攻撃面が小さいことを意味します。
診断するヘッダ
| ヘッダ | 防ぐ脅威 |
|---|---|
Strict-Transport-Security |
プロトコルダウングレード/SSLストリッピング |
Content-Security-Policy |
クロスサイトスクリプティング(XSS)・データ注入 |
X-Content-Type-Options |
MIMEタイプスニッフィング |
X-Frame-Options |
クリックジャッキング |
Referrer-Policy |
リファラURLの漏えい |
Permissions-Policy |
カメラ/マイク/位置情報APIの悪用 |
HSTSはHTTPSでのみ意味を持つため、HTTPのURLでは失敗ではなく注意として扱います。ヘッダ修正後は SSLチェッカー で証明書も再確認しましょう。詳しくは HTTPセキュリティヘッダ解説。
よくある質問
満点ならサイトは安全ということですか?
いいえ。これらのヘッダは多層防御の堅牢化であり、安全なコード・パッチ適用・適切な認証の代わりにはなりません。スコアが高いとブラウザ側の一般的な攻撃は減りますが、アプリのロジックを監査するものではありません。
HTTPのサイトでHSTSが「注意」と出るのはなぜですか?
Strict-Transport-SecurityはHTTPで配信されるとブラウザに無視されます。HTTPSで配信し、HTTPS応答にヘッダを設定して初めて有効になります。
いきなり厳格なCSPを設定すべきですか?
慎重に展開してください。まずreport-onlyで様子を見て、正当なリソースがブロックされないか確認してから強制に切り替えます。厳しすぎるCSPはインラインJSや解析・広告を壊すことがあります。