HTTPセキュリティヘッダー診断ツール
WebページのURLを入力するだけで、セキュリティヘッダーが正しく指定されているか自動診断します。
各種ヘッダーの指定有無や指定方法に誤りがないかどうか判定します。
リダイレクトを有効
- 安全
- 診断結果は記録されず、どこにも公開もされません。
解説
セキュリティヘッダーとは、HTTPレスポンスに出力することで、クロスサイトスクリプティング(XSS)やクリックジャッキングなど、Webサイトの脆弱性を利用した攻撃を軽減するためのヘッダーです。
このツールでは対象のWebページのURLを入力するだけで、各種ヘッダーの指定有無や指定方法に誤りがないかどうか診断することができます。
| ヘッダー | 推奨値・指定例 | 説明 |
|---|---|---|
| Strict-Transport-Security (HSTS) | max-age=31536000 | ブラウザに対してHTTPSを用いて通信を行うよう指示します。31536000部分にブラウザがHTTPSで接続することを記録する時間を秒単位指定します。 |
| Content-Security-Policy (CSP) | default-src 'self' example.com | 主にクロスサイトスクリプティング(XSS)などの攻撃を軽減するための指定です。 外部の信頼できるドメイン名を指定する事で、そのドメインに対してコンテンツを許可できます。 |
| X-Frame-Options | SAMEORIGIN | ブラウザに対してiframeembedobjectタグ内に表示させることを許可するかどうかを指示します。DENYやSAMEORIGINを指定する事で、外部サイトによるクリックジャッキング攻撃を防ぐことができます。 |
| X-Content-Type-Options | nosniff | Content-Typeで指定したMIMEタイプを強制的に適用します。nosniffを指定する事で、MIMEタイプの変更によるMIMEスニッフィング攻撃を防ぐことができます。 |
| referrer-policy | no-referrer | リファラー情報をどこまでリクエストに含めるかを制御するために指定します。no-referrerを指定した場合、送信リクエストにリファラー情報が含まれなくなります。 |
| Permissions-Policy | camera=() microphone=() | ページ内でのブラウザ機能の実行権限を指定します。 例えば camera=()と指定した場合、そのページ内でMediaDevicesによるカメラへのアクセスができなくなります。 |
当ツールではX-XSS-Protectionなど、標準化されていない非推奨のヘッダーは診断対象としていません。
また、診断対象のヘッダーであっても、廃止された指定方法や安全でない指定を検出した際は警告を表示します。