Security Headers Recommendation

セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

レスポンスヘッダーを貼り付けて「提案」。不足しているセキュリティヘッダーの推奨値を表示します。

注意(このツール)

  • 推奨値は汎用ベースラインです。既存アプリの読み込み要件に合わせて微調整してください。
  • 導入直後はブロックが発生しやすいため、段階的な適用とログ監視を併用してください。

このページについて

何をするツール?

主要セキュリティヘッダーの不足を検出し、最低限の推奨値を提案します。

切り分け手順(おすすめ)

  • Response Headers を貼り付けて推奨値を確認
  • 各 Inspect で詳細を確認
  • 本番環境で段階的に適用

推奨(実務)

  • CSP/HSTS を最優先で導入
  • Referrer-Policy と X-Frame-Options で漏えい/クリックジャッキング対策
  • Permissions-Policy で不要機能を無効化
  • Security Headers Audit
  • CSP Inspect
  • HSTS Inspect
  • Permissions-Policy Inspect
  • Referrer-Policy Inspect
  • X-Frame-Options Inspect

このツールでできること

  • 不足ヘッダーの抽出
  • 推奨値の提示(例)

注意(運用)

  • 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
  • 本番では段階導入とレポート監視を併用してください。

参照仕様

  • MDN: Security headers
  • RFC 9110(HTTP Semantics)

FAQ

推奨値はどのサイトでも同じですか?

いいえ。アプリ構成・CDN・埋め込み要件で最適値は変わります。まず推奨値を叩き台にして環境別に調整してください。

レガシー環境では何から始めるべきですか?

互換性影響の小さいヘッダーから始め、影響の大きいCSPは Report-Only で検証してから本適用すると失敗しにくいです。

参考リンク

  1. MDN: Security headers
  2. RFC 9110

症状別ケーススタディ(このページ向け)

監査結果から「次に何を設定すべきか」を決めるページです。導入順序の判断に使います。

  • 不足ヘッダーの中で即時導入可能なものを抽出する
  • 既存機能への影響が大きい項目を事前に分離する
  • 推奨値をテンプレート化して再利用する

実装時チェックリスト(このページ向け)

  • 推奨値に対する採否理由を記録する
  • 段階導入は Report-Only → 本適用の順で行う
  • 各ヘッダーの所有者チームを明確にする
  • 導入後は検証結果をナレッジ化する

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. Security Headers Fix Plan — 優先度付きの修正ステップを作成
  2. Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
  3. CSP Builder — テンプレートからCSPを組み立て
  4. CSP Inspect — CSPディレクティブを分解して評価
  5. X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
  6. CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
  7. CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
  8. HSTS Inspect — HSTS設定を解析してHTTPS強制を確認

セキュリティヘッダー

不足ヘッダーの検出から修正計画まで一気に進める