セキュリティヘッダーチェッカー
ウェブサイトのセキュリティを強化するために、HTTPレスポンスヘッダーの設定状況を確認します。指定したURLを入力することで、HSTSやCSPなどの重要なセキュリティヘッダーが正しく設定されているかを自動で診断し、改善点を提案します。
セキュリティヘッダー技術リファレンス
各セキュリティヘッダーとその重要性に関する詳細情報:
クロスサイトスクリプティング(XSS)やその他のコードインジェクション攻撃を防ぐのに役立つ強力なセキュリティヘッダーです。ブラウザがロードできるリソース(スクリプト、スタイル、画像など)を指定できます。
default-src 'self'; script-src 'self' https://trusted.com;厳格なポリシーで始め、必要に応じて徐々に緩和します。常にdefault-srcディレクティブを含めてください。
ブラウザに対して、ドメインへのすべての将来のリクエストでHTTPではなくHTTPSを使用することを強制します。プロトコルダウングレード攻撃やクッキーハイジャックを防ぐのに役立ちます。
max-age=31536000; includeSubDomains; preload長いmax-age(少なくとも1年)を使用し、該当する場合はサブドメインを含めます。
他のサイトでiframeに埋め込まれるのを防ぎ、クリックジャッキング攻撃から保護します。
SAMEORIGINフレーミングを完全に防ぐにはDENYを使用するか、自己のドメインからのみフレーミングを許可するにはSAMEORIGINを使用します。
ブラウザの内蔵XSSフィルタリングを有効にします。最新のブラウザはこのヘッダーから移行していますが、古いブラウザに対する追加の保護層を提供します。
1; mode=block「1; mode=block」を使用して保護を有効にし、攻撃が検出された場合はページをブロックします。
宣言されたコンテンツタイプからの応答をMIMEスニッフィングするブラウザを防ぎ、ドライブバイダウンロード攻撃への露出を減らします。
nosniffMIMEタイプスニッフィングを防ぐために常に「nosniff」に設定します。
リクエストに含めるリファラー情報の量を制御します。これにより、他のサイトに送信される情報を制御してユーザープライバシーを保護します。
strict-origin-when-cross-originセキュリティと機能のバランスが良い「strict-origin-when-cross-origin」を使用します。
ウェブサイトで使用できるブラウザの機能やAPIを制御します。これにより、ブラウザの機能の乱用を防ぎます。
geolocation=(), microphone=(), camera=()必要のない機能を無効にし、慎重に敏感な機能へのアクセスを制御します。
ドメインに対してどの証明書機関が信頼されるべきかを指定することを可能にします。これにより、中間者攻撃を防ぐのに役立ちます。
pin-sha256="base64=="; max-age=5184000少なくとも2つのピンとバックアッププランを含めます。注:このヘッダーは証明書の透明性に置き換えられる予定です。
主な機能
- 包括的なセキュリティヘッダー分析
- リアルタイムのヘッダーチェック
- 各ヘッダーに対する詳細な推奨事項
- 主要なすべてのセキュリティヘッダーをサポート
- わかりやすいステータスインジケーター
一般的な使用例
- ウェブサイトのセキュリティ監査
- セキュリティコンプライアンスのチェック
- ウェブ開発テスト
- セキュリティポリシーの実装
- 定期的なセキュリティモニタリング
使用方法
- チェックしたいウェブサイトのURLを入力する
- 「ヘッダーをチェック」ボタンをクリックする
- 分析が完了するのを待つ
- 結果と推奨事項を確認する
- 提案されたセキュリティ改善を実施する