HTTP ヘッダーインスペクター
任意 URL のレスポンスヘッダーとセキュリティポリシーを検査。HSTS、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Server、Content-Type、Cache-Control をワンクリックで確認できます。
公開 URL を入力してください。サーバーが一度だけ取得し、レスポンスヘッダーを返します — 本文や JavaScript の実行はありません。
確認すべきこと
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
よくある利用例
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2リダイレクトチェーンをデバッグ — キャンペーン URL や短縮リンクを貼り付けて、すべての 301/302 ホップを最終ランディングまで追跡し、ブラウザが実際に読み込む最終 URL も確認します。
- 3キャッシュと CDN 設定を確認 — Cache-Control、ETag、Age、CF-Cache-Status から、アセットがオリジン、エッジキャッシュ、または stale revalidate のいずれから配信されているかが分かります。
よくある質問
What's a good security header score?+
近年のサイトは少なくとも HSTS、CSP、X-Frame-Options または CSP の frame-ancestors、X-Content-Type-Options: nosniff、Referrer-Policy を返すべきです。Permissions-Policy も期待されつつあります。
自分のサイトにこれらのヘッダーが一切ありません — まずいですか?+
これは機会の損失であり、必ずしも緊急事態ではありません。まず HSTS を追加してサイトを HTTPS に固定し、次に厳格な Referrer-Policy を。CSP は最強の防御ですが、最も計画が必要です。
一部のサイトで Server ヘッダーが伏せられているのはなぜ?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.