セキュリティヘッダ診断
自分のサイトのURLを入れると、CSP・HSTS・X-Frame-Options などのHTTPセキュリティヘッダを採点し、足りない設定の直し方とコピペ用の推奨設定を提示します。
このツールはITDのサーバーが対象URLを1回だけ取得し、レスポンスヘッダのみを評価します。本文は保存しません。内部・プライベートなアドレスへのアクセスは遮断しています。
使い方
- 1自分が管理するサイトのURLを入力します。
- 2主要なセキュリティヘッダの有無と強さを採点します。
- 3「未設定」「弱い」の項目を、表示される直し方・推奨設定で補強します。
なぜ重要か
セキュリティヘッダは“多層防御”の安価で効果的な一手です。CSPでXSSの被害を抑え、HSTSで通信を常時HTTPSに固定し、X-Frame-Optionsでクリックジャッキングを防ぐ——どれもサーバー設定を数行足すだけ。まず厳格な既定から始め、必要に応じて緩めるのが定石です。
よくある質問
Q他人のサイトを診断してもいい?
A
本ツールは対象URLを1回取得してレスポンスヘッダを見るだけで、能動的なスキャンや攻撃は行いません(ブラウザで開くのと同じ範囲)。とはいえ用途は『自分のサイトの点検』を想定しています。
Q満点(A)でないと危険ですか?
A
いいえ。サイトの性質により不要なヘッダもあります。重要なのはCSP・HSTS・X-Frame-Options・X-Content-Type-Options。これらが揃っていれば実用上は十分強固です。