HTTPヘッダー診断
WebサーバーのHTTPレスポンスヘッダーを分析し、 セキュリティ上の問題点を特定。 推奨される設定と改善方法を提示します。
HTTPヘッダーはWebセキュリティの第一防衛線
HTTPセキュリティヘッダーは、ブラウザに対してセキュリティポリシーを伝える重要な仕組みです。 適切に設定されたヘッダーは、XSS、クリックジャッキング、MIMEスニッフィングなど 多くの攻撃をブラウザレベルで防ぐことができます。
未設定のサイト
ヘッダーの種類
表示時間
なぜ多くのサイトが
未設定のままなのか?
見えない存在
HTTPヘッダーはブラウザとサーバー間でやり取りされる情報で、一般のユーザーには見えません。
設定が複雑
サーバー設定ファイルの編集が必要で、技術的な知識が求められます。
リスクの認識不足
「今まで問題なかった」という理由で放置されがちです。
ワンクリックで診断し、何が不足しているかを即座に把握できます。
10種類のセキュリティヘッダーを診断
それぞれのヘッダーがどのような攻撃を防ぎ、なぜ重要なのかを解説します
必ず設定すべき最重要ヘッダー
Content-Security-Policy
CSPXSS攻撃を防ぐ最も強力なヘッダー。どのソースからスクリプトやリソースを読み込めるかを制御します。
Strict-Transport-Security
HSTSHTTPS接続を強制し、中間者攻撃を防止。常に暗号化された安全な通信を保証します。
設定を強く推奨
X-Frame-Options
XFOiframeへの埋め込みを制御し、クリックジャッキング攻撃から保護します。
X-Content-Type-Options
XCTOMIMEタイプのスニッフィングを防止し、コンテンツ偽装を阻止します。
設定を推奨
Referrer-Policy
他サイトへの遷移時に送信されるリファラー情報を制御します。URLに含まれる機密情報(セッションIDやトークン)の漏洩を防ぎます。
Permissions-Policy
カメラ、マイク、位置情報などブラウザの強力な機能へのアクセスを制御。悪意あるスクリプトによる不正利用を防止します。
X-XSS-Protection
ブラウザ内蔵のXSSフィルターを有効化します。CSPと併用することで、より強固なXSS対策を実現できます。
Cache-Control
機密情報を含むページのキャッシュ動作を制御。共有キャッシュへの保存を防ぎ、情報漏洩リスクを軽減します。
削除・隠蔽を推奨
X-Powered-By
PHPバージョンなどの公開を防止。攻撃者に有用な情報を与えないようにします。
Server
Webサーバー情報の公開を防止。既知の脆弱性を狙った攻撃を回避します。