Security Headers Audit

セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

レスポンスヘッダーを貼り付けて「監査」。主要セキュリティヘッダーの有無と注意点を表示します。

注意(このツール)

  • ヘッダーが存在しても値が不適切だと防御効果は弱くなります。値の妥当性も確認してください。
  • 機能要件とのトレードオフがあります。段階導入(Report-Only等)で影響を確認してください。

このページについて

何をするツール?

主要セキュリティヘッダーの有無を一括で判定し、欠落や注意点をまとめます。

切り分け手順(おすすめ)

  • Response Headers を貼り付けて監査
  • 不足があれば各 Inspect で詳細を確認
  • CSP/HSTS/Permissions-Policy を優先して改善

推奨(実務)

  • CSP と HSTS は最優先で導入
  • Permissions-Policy は不要機能を明示的に無効化
  • Referrer-Policy / X-Frame-Options で情報漏えいとクリックジャッキング対策
  • CSP Inspect
  • HSTS Inspect
  • Permissions-Policy Inspect
  • Referrer-Policy Inspect
  • X-Frame-Options Inspect

このツールでできること

  • 主要セキュリティヘッダーの有無を一覧化
  • よくある危険な組み合わせを警告

注意(運用)

  • 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
  • 本番では段階導入とレポート監視を併用してください。

参照仕様

  • MDN: Security headers
  • RFC 9110(HTTP Semantics)

FAQ

ヘッダーがあるのに「安全でない」と判断されるのはなぜですか?

有無だけでなく値の強度が重要です。たとえば弱いCSPや短いHSTSでは十分な防御にならない場合があります。

推奨設定をそのまま本番に適用してよいですか?

段階導入を推奨します。Report-Onlyや一部パス適用で影響を確認してから全体展開してください。

参考リンク

  1. MDN: Security headers
  2. RFC 9110

症状別ケーススタディ(このページ向け)

主要セキュリティヘッダーの欠落や弱設定を一覧化し、リスクを優先順位で確認するページです。

  • CSP/HSTS/X-Frame-Options/Referrer-Policy の有無を確認する
  • 設定値が推奨レベルを満たすか確認する
  • CDNとアプリで最終応答値が一致するか確認する

実装時チェックリスト(このページ向け)

  • 定期監査にこの監査結果を組み込む
  • 欠落ヘッダーは高リスク順に導入する
  • 運用例外は期限付きで管理する
  • 監査基準を環境ごとに統一する

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
  2. Security Headers Fix Plan — 優先度付きの修正ステップを作成
  3. CSP Inspect — CSPディレクティブを分解して評価
  4. HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
  5. Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
  6. X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
  7. X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
  8. nosniffでJS/CSSがブロックされる時の診断手順 — Content-Type と nosniff の不一致、404/302混入、配信経路の上書きを切り分ける

セキュリティヘッダー

不足ヘッダーの検出から修正計画まで一気に進める