ZenovayTools

セキュリティヘッダーチェッカー

8つの最新HTTPセキュリティヘッダーを監査します。HSTS、CSP、Permissions-Policy、Referrer-Policy、X-Frame-Optionsなど。A~Fのグレード付きで、プライバシーデータフロー影響を表示します。

セキュリティヘッダーチェッカーの使い方

  1. 1監査したいウェブサイトのURLを入力してください。
  2. 2レスポンスで検出されたすべてのHTTPセキュリティヘッダー(または欠落部分)を表示します。
  3. 3セキュリティとプライバシーへの影響を示すヘッダーごとの分析を確認します。
  4. 4修正の推奨事項に従い、セキュリティグレードを向上させてください。
Zenovayアナリティクス

今、誰がサイトにいるかを把握。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

このツールはどのようなHTTPセキュリティヘッダーをチェックしますか?
このツールは8つの主要なHTTPセキュリティヘッダーをチェックします:Strict-Transport-Security (HSTS)、Content-Security-Policy (CSP)、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、Cross-Origin-Opener-Policy (COOP)、およびX-XSS-Protectionです。各ヘッダーは正確性について分析され、評価されます。
なぜPermissions-Policyはプライバシー問題なのですか?
Permissions-Policyは、ページとサードパーティスクリプトがアクセスできるブラウザAPI(カメラ、マイク、位置情報、決済)を制御します。これがないと、サイトに読み込まれた広告トラッカーはユーザーから位置情報へのアクセスを要求できます。`geolocation=(), camera=(), microphone=()`でこれらのAPIを制限すると、トラッカーが機密性の高い権限を要求するのを防げます。
なぜReferrer-Policyはプライバシーに重要なのですか?
Referrer-Policyがないと、ブラウザはページの完全なURL([email protected]などのパスとクエリパラメータを含む)をすべてのサードパーティリソース(分析ツール、CDN、広告ネットワーク)に送信します。Referrer-Policy: strict-origin-when-cross-originを設定すると、クロスオリジンのリファラーデータはドメインのみに制限され、URLベースのデータ漏洩を防ぎます。
HSTSとは何ですか、また、なぜ必要ですか?
HTTP Strict Transport Security (HSTS)は、サイトがHTTPSでのみアクセスされるべきことをブラウザに通知します。これがないと、同じネットワーク上の攻撃者はHTTP接続をインターセプトできます(SSLストリッピング攻撃)。HSTSが長いmax-ageで設定されると、ユーザーが'http://'を手動で入力してもブラウザはサイトへのプレーンHTTP接続を拒否します。
私のCSPが見つかりません。どのように作成すればよいですか?
CSPは正しく実装するのが複雑な場合があります。`Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; upgrade-insecure-requests`から始めて、反復してください。まずReport-Onlyモードで何も壊さずにテストしてください。Mozilla ObservatoryとCSP Evaluatorツールがポリシーを検証するのに役立ちます。
X-Frame-Optionsとは何ですか、またそれはまだ必要ですか?
X-Frame-Optionsは、サイトが他のドメインのiframeに埋め込まれるのを防ぎます(クリックジャッキング保護)。CSPの`frame-ancestors`ディレクティブはモダンな代替品ですが、X-Frame-Optionsはまだ古いブラウザのために必要です。同じドメインのiframe埋め込みが必要でない限り、`X-Frame-Options: DENY`を使用してください。
セキュリティヘッダーをサイトに追加するにはどうすればよいですか?
Nginxの場合:server {}ブロックにヘッダーを追加してください。Apacheの場合:.htaccessまたはhttpd.confでHeader setディレクティブを使用してください。Cloudflareの場合:Transform Rules → Modify Response Headersを使用してください。Vercel/Netlifyの場合:next.config.jsのheaders()またはnetlify.tomlを使用してください。ほとんどのCDNとホスティングプラットフォームがカスタムレスポンスヘッダーをサポートしています。