HTTPヘッダーアナライザー
あらゆるURLのHTTPレスポンスヘッダーを検査します。欠落しているセキュリティヘッダーを強調表示します。
このツールの使い方
- 1
Type a public hostname or URL (for example example.com or https://example.com) into the input box.
- 2
Press Analyze. The tool's server sends a GET request to that host over HTTPS, falling back to HTTP if needed.
- 3
Read the yellow 'Missing security headers' panel to see which of the nine tracked headers are absent.
- 4
Scroll the 'All headers' list to inspect every header the server actually returned, value by value.
HTTPヘッダーアナライザーとは何ですか?
HTTPレスポンスヘッダーは、各レスポンスに関するメタデータ(キャッシュのルール、セキュリティポリシー、コンテンツタイプ、サーバーの識別情報)を運びます。最新のセキュリティは、Strict-Transport-Security(HSTS)、Content-Security-Policy(CSP)、X-Frame-Optionsといったヘッダーに依存しています。このツールはURLを取得し、すべてのレスポンスヘッダーに加えて、欠落している推奨セキュリティヘッダーの一覧を表示します。
よくある活用例
Confirm a freshly deployed site is sending HSTS and a Content-Security-Policy before you announce launch.
Spot-check a competitor's or vendor's public domain to see how their security header posture compares to yours.
Verify that a CDN or reverse-proxy change (Cloudflare, Fastly, nginx) is actually adding the headers you configured at the edge.
Quickly read Cache-Control, ETag, and Content-Type on a production response when debugging a caching or MIME-type bug.
Check whether a redirect chain ends on HTTPS and what the final hop's headers look like, since the tool follows up to five redirects.
Hand a developer a concrete list of missing headers (X-Frame-Options, X-Content-Type-Options, Referrer-Policy) to add to their server config.
よくある質問
どのセキュリティヘッダーを設定すべきですか?▼
X-Powered-Byは危険ですか?▼
関連ツール
DNSルックアップ
任意のドメインのDNSレコード(A、AAAA、MX、TXT、NS、CNAME)を照会します。メール、ホスティング、SSL設定のデバッグに役立ちます。
WHOIS検索
任意のドメインの登録データを照会します。レジストラ、登録日と有効期限、ネームサーバー、(公開されている場合は)連絡先情報がわかります。
SSL証明書チェッカー
任意のドメインのSSL/TLS証明書を確認します。発行者、有効期間、有効期限までの日数を表示します。
HTTPステータスコードチェッカー
あらゆるURLが返すHTTPステータスコードを確認します。200、301、404、500などを検出します。
リダイレクトチェーン追跡ツール
リダイレクトチェーンの各ホップをたどります。リダイレクトループや、パフォーマンスを損なう過剰なホップを検出します。
混在コンテンツチェッカー
HTTPSページがHTTPで読み込んでいるリソースを見つけます。混在コンテンツはブラウザの警告を引き起こし、ブロックされることもあります。