Host/Authority/Origin Inspect

HTTPヘッダー/経路情報をブラウザ内で整理・診断します。入力はサーバーへ送信しません。観測差分の一次切り分けに使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

Host / :authority / Origin / Referer を貼り付けて「解析」。各値を分解して一覧表示します(ヘッダー行/複数行貼り付け/ヘッダー全体貼り付けOK)。

注意(このツール)

  • Referer は Referrer-Policy により省略されることがあります。

このページについて

何をするツール?

Host / :authority / Origin / Referer を分解し、ホスト/スキーム/パスの情報を一覧表示します。

「CORSが通らない」「URL生成が壊れる」「想定外のHostで受けている」などの切り分けに役立ちます。

基本(役割の違い)

  • Host はHTTP/1.1のホスト指定、:authority はHTTP/2以降のホスト相当です。
  • Origin はCORSの文脈で「どのオリジンから来たか」を表します。
  • Referer は「どのページから来たか」を示すURLで、省略されることがあります。

構文(読み方)

  • Host: example.com
  • :authority: example.com:443
  • Origin: https://example.com
  • Referer: https://example.com/path?x=1

用語(このページの前提)

  • Origin: scheme + host + port の組み合わせ(パスは含まない)。
  • Authority: host[:port] の組み合わせ。HTTP/2で使われる。
  • Same-origin: Origin が完全一致すること。

なぜ役立つ?(CORS/URL生成)

Host/Origin/Referer の違いは、CORS判定やURL生成のズレに直結します。どの値を見ているかを可視化すると原因が見えやすくなります。

  • Origin はCORSの主役(Hostとは別物)
  • Referer は省略されることがある(Referrer-Policyの影響)

例(よくあるパターン)

  • CORS不一致: Origin が api.example.com なのに許可が example.com だけ
  • Host書き換え: Host と :authority が異なる/想定外
  • Referer 欠落: Referrer-Policy により Referer が送られない

確認のしかた(実測)

まずは DevTools の Network でリクエストヘッダーを確認し、必要なら curl で再現します(URLは置き換えてください)。

  • curl -I https://example.com/ でレスポンス/リダイレクトの Host/Location を確認
  • CORS の場合は Origin を付けて確認: curl -I -H \"Origin: https://app.example\" https://api.example

よくある落とし穴

  • Origin と Host を混同して許可リストを作ってしまう
  • プロキシ配下で Host が書き換わる(X-Forwarded-Host 等)
  • Referer が常にある前提でロジックを組む

トラブル別チェックリスト

  • CORSが通らない: Origin が許可リストと一致しているか、host/port差分を確認
  • URL生成が壊れる: Host/:authority/Forwarded/X-Forwarded-Host の整合を確認
  • Refererが無い: Referrer-Policy を確認(no-referrer等)

切り分け手順(おすすめ)

  • Request Headers Parser で Host/Origin/Referer を抽出
  • このツールで各値を分解して比較
  • Forwarded / X-Forwarded-Host / X-Forwarded-Proto と整合を確認
  • Forwarded Inspect
  • X-Forwarded-Proto Inspect
  • Referrer-Policy Inspect
  • Request Headers Parser

このツールでできること

  • Host / :authority / Origin / Referer を抽出して一覧表示
  • Origin/Referer をURL分解して表示
  • ヘッダー全体から該当行を抽出

注意(運用)

  • 中継機器でヘッダーが書き換わることがあります。取得地点を揃えて比較してください。
  • 最終判断はサーバーログと設定(信頼プロキシ、ルーティング)で確認してください。

参照仕様

  • RFC 9110(HTTP Semantics)
  • RFC 9113(HTTP/2)
  • MDN: Origin / Referer / Host

FAQ

Host と Origin は同じ?

違います。Origin は scheme + host + port で、Host は host[:port] です。

Referer が無いのはバグ?

Referrer-Policy やブラウザ設定により送られないことがあります。

参考リンク

  1. RFC 9110
  2. RFC 9113
  3. MDN: Origin
  4. MDN: Referer
  5. MDN: Host
  6. MDN: CORS

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. CORS preflight失敗時の診断手順 — OPTIONS応答、Allow-*、Origin条件を順に確認して preflight 失敗を解消する
  2. Set-Cookie が保存されない時の診断手順 — Domain/Path/Secure/SameSite を順に確認して Cookie 非保持の原因を切り分ける
  3. OAuth戻りでログインが維持されない時の診断手順 — IdP戻りで起きる Cookie 不達を SameSite・Secure・Path/Domain・競合で順に切り分ける
  4. Origin Allowlist Check — Origin と許可リストの一致を判定
  5. CORS Checklist — CORS設定の確認項目を手順化
  6. CORS Response Inspect — Access-Control-Allow-* を解析してCORS応答を点検
  7. CORS Error Troubleshooting — CORSエラー文とヘッダーを突き合わせて失敗ポイントを症状別に切り分け
  8. CORS Diagnostic — Origin と Allow-* を照合してCORS判定を診断

CORS

Origin と Allow-* を比較して CORS 許可判定を点検