Request Headers Parser

何をするツール？

リクエストヘッダーを貼り付けて、name: value 形式の一覧に正規化します。

Cookie や Forwarded 系のヘッダーを見落とさずに確認できます。

リクエストヘッダーの基本

• ブラウザはリクエスト時に多くのヘッダーを送信します。
• DevToolsのコピーは形式が崩れることがあるため正規化が有効です。
• ヘッダー値は大文字小文字に意味がない（名前は大小無関係）

Chrome DevToolsからのコピー手順

• Network → 対象リクエスト → Headers → Request Headers をコピー
• コピー形式が崩れたら（このツールで）name: valueに整形して共有
• 機微情報（Cookie/Authorization）は共有前に必ず見直す

使いどころ

• Cookieが送られていない原因の切り分け
• CORSや認証前提のヘッダー（Origin/Authorization）確認
• VPN/Proxy/CDN 配下での Forwarded 系確認

出力内容

• 正規化したヘッダー一覧
• Cookieキーの一覧（値は省略）
• Forwarded/X-Forwarded-For/X-Real-IP の抽出

Cookieの読み方（よくある原因）

Cookieが送られない問題では「Cookieヘッダーにキーが存在するか」をまず確認します。その上で SameSite/Domain/Path/Secure/HttpOnly 等の条件を疑います。

• Authorization と Cookie の併用（どちらが使われているか）
• クロスサイト/サブドメインでSameSiteが効いている
• HTTPS必須（Secure）でHTTPでは送られない

Forwarded系の読み方

Forwarded/X-Forwarded-For などはプロキシやロードバランサが付与します。信頼境界を決めずにアプリ側でそのまま信用するのは危険です。

• 複数IPが並ぶ場合は経路を表していることがある
• CDN配下ではREMOTE_ADDRがCDNになることがある

よくある落とし穴

• Cookieの値まで共有してしまう（セキュリティリスク）
• ヘッダーの空行や折り返しで解析が崩れる
• 複数の同名ヘッダーが混ざって見落とす

セキュリティ/プライバシー注意

リクエストヘッダーには機微情報が含まれる場合があります。共有前に必ずマスク/削除してください。

• Cookie / Authorization / X-API-Key は原則共有しない
• このツールはブラウザ内処理で、入力は送信しない

関連ツール

• HTTP Header Parser：レスポンスヘッダー側を解析
• Cookie Inspect：Set-Cookie を分解（サーバー側）
• CORS Checklist：CORSの切り分けガイド

このツールでできること

• ヘッダーの正規化と一覧化
• Cookieキーの抽出
• Forwarded系の整理

切り分け手順（おすすめ）

• 実際のヘッダー/値を貼り付ける
• 期待値と観測値の差を確認する
• プロキシ/CDN/リダイレクト経路を追う

注意（運用）

• 中継機器でヘッダーが書き換わることがあります。取得地点を揃えて比較してください。
• 最終判断はサーバーログと設定（信頼プロキシ、ルーティング）で確認してください。

参照仕様

• RFC 9110（HTTP Semantics）
• RFC 7239（Forwarded）

FAQ

参考リンク

1. RFC 9110
2. RFC 7239
3. MDN: Cookie

次に見る（診断順）

site_map ルールに基づいて、次に確認すべきページを表示しています。

1. Set-Cookie Builder — 属性付き Set-Cookie ヘッダーを生成
2. Request/Response Diff — Request/Response ヘッダー差分を比較
3. Content-Type Inspect — Content-Type を解析してMIME/charsetを確認
4. Cookie Inspect — Set-Cookie 属性を分解し設定ミスを確認