本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

セキュリティヘッダ診断

自分のサイトのURLを入れると、CSP・HSTS・X-Frame-Options などのHTTPセキュリティヘッダを採点し、足りない設定の直し方とコピペ用の推奨設定を提示します。

このツールはITDのサーバーが対象URLを1回だけ取得し、レスポンスヘッダのみを評価します。本文は保存しません。内部・プライベートなアドレスへのアクセスは遮断しています。
サンプルで試す(ITD自身を診断)
B
総合評価
86 / 100
https://itdef.net/ja
  • Content-Security-Policy弱い
    現在の値: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
    XSSの被害を大きく減らす多層防御の要。unsafe-inline は避ける。 default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
  • Strict-Transport-Security (HSTS)OK
    現在の値: max-age=63072000; includeSubDomains; preload
  • X-Frame-OptionsOK
    現在の値: DENY
  • X-Content-Type-OptionsOK
    現在の値: nosniff
  • Referrer-PolicyOK
    現在の値: strict-origin-when-cross-origin
  • Permissions-PolicyOK
    現在の値: camera=(), microphone=(), geolocation=(), browsing-topics=()
  • Cross-Origin-Opener-PolicyOK
    現在の値: same-origin-allow-popups
  • 情報漏えい (Server / X-Powered-By)OK

AIへの改善指示(コピペ)

Claude / ChatGPT に貼ると、あなたの環境向けの具体的な直し方を教えてくれます。

あなたはWebセキュリティの専門家です。私のサイト(https://itdef.net/ja)のHTTPセキュリティヘッダに不足があります。攻撃ではなく防御目的で、以下を安全に設定する方法を、私が使っているサーバー/フレームワーク(nginx / Caddy / Apache / Next.js など)向けに、具体的なコード例で教えてください。どのサーバーか不明な場合は質問してください。設定後に正しく反映されたか確認する方法も教えてください。

- Content-Security-Policy(要改善)→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

注意:解析タグや広告など既存の動作を壊さないよう、互換性に配慮した設定にしてください。攻撃手法やバイパスの説明は不要です。

推奨ヘッダ(コピペ用のたたき台)

サーバー(nginx / Caddy / アプリ)でこれらを返すところから始めてください。

Content-Security-Policy: default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

使い方

  1. 1自分が管理するサイトのURLを入力します。
  2. 2主要なセキュリティヘッダの有無と強さを採点します。
  3. 3「未設定」「弱い」の項目を、表示される直し方・推奨設定で補強します。

なぜ重要か

セキュリティヘッダは“多層防御”の安価で効果的な一手です。CSPでXSSの被害を抑え、HSTSで通信を常時HTTPSに固定し、X-Frame-Optionsでクリックジャッキングを防ぐ——どれもサーバー設定を数行足すだけ。まず厳格な既定から始め、必要に応じて緩めるのが定石です。

よくある質問

Q他人のサイトを診断してもいい?
A

本ツールは対象URLを1回取得してレスポンスヘッダを見るだけで、能動的なスキャンや攻撃は行いません(ブラウザで開くのと同じ範囲)。とはいえ用途は『自分のサイトの点検』を想定しています。

Q満点(A)でないと危険ですか?
A

いいえ。サイトの性質により不要なヘッダもあります。重要なのはCSP・HSTS・X-Frame-Options・X-Content-Type-Options。これらが揃っていれば実用上は十分強固です。

関連ページ