無料ツール

    HTTPヘッダー チェッカー

    任意のウェブサイトのHTTPレスポンスヘッダーを確認し、セキュリティヘッダーを分析します。

    ヘッダーを確認する

    HTTPヘッダーとは何ですか?

    HTTPヘッダーとは、リクエストやレスポンスのたびにブラウザとサーバーの間でやり取りされるメタデータのことです。これらは、キャッシュ、認証、コンテンツタイプ、セキュリティポリシーなどを制御します。ヘッダーを確認することで、パフォーマンスの問題の診断やセキュリティ設定の検証に役立ちます。

    このツールの仕組み

    完全修飾URLを入力すると、このツールはXitoringのエッジ関数を通じて`HEAD`リクエストを発行します。ブラウザのデベロッパーツールでは折りたたまれたり非表示になったりするセキュリティ関連のヘッダーも含め、すべてのレスポンスヘッダーをキャプチャし、それらを分類します。これにより、どの保護機能が有効で、どの機能が不足しているかを一目で確認できます。このツールは最大3ホップまでのリダイレクトを追跡するため、`http://...` のようなURLでも、最終的なHTTPSヘッダーと共にレポートされます。

    重要なセキュリティヘッダー

    • Strict-Transport-SecurityHTTPS接続を強制し、ダウングレード攻撃を防止
    • Content-Security-Policyブラウザが読み込めるリソースを制御
    • X-Frame-Optionsiframe埋め込みを制御してクリックジャッキングを防止
    • X-Content-Type-OptionsMIMEタイプスニッフィング攻撃を防止
    • Referrer-Policyリクエストと共に送信されるリファラー情報の量を制御

    ウェブサイトの稼働状況とパフォーマンスを監視する

    HTTPステータス、応答時間、およびSSL証明書を継続的に監視します。

    無料モニタリングを開始する

    HTTPヘッダー よくある質問

    このツールの仕組みと、レスポンスヘッダーが実際に何を示しているのか。

    このツールは、私のURLをXitoringのサーバー経由で送信しますか?
    はい。リクエストはXitoringのエッジ関数を経由するため、ネットワーク外部からヘッダーを取得し、ブラウザが通常ブロックしてしまうCORS制限のあるエンドポイントを含め、クリーンなレスポンスを返すことができます。URLやレスポンスの内容はログに記録されません。第三者に公開したくないURLを確認する必要がある場合は、ローカルで `curl -I ` を使用してください。
    なぜ私のサイトでは一部のセキュリティヘッダーが表示されないのですか?
    `Content-Security-Policy`、`Strict-Transport-Security`、`X-Frame-Options` などのセキュリティヘッダーはオプトイン方式であり、デフォルトでは送信されません。これらを追加するには、オリジンWebサーバー(Nginx、Apache、IIS)またはCDN(Cloudflare、Fastly、AWS CloudFront)の設定を変更する必要があります。 結果に表示される「欠落しているヘッダー」のリストには、追加すべきヘッダーと、それぞれがどのような脅威から保護するかが大まかに記載されています。
    自分のサイトにContent-Security-Policyが設定されていない場合、心配すべきでしょうか?
    CSPはクロスサイトスクリプティングに対する最も効果的な防御策ですが、正当なスクリプトの動作を妨げる可能性があるため、正しく実装するのが最も難しいヘッダーでもあります。サイト上でユーザー生成コンテンツを読み込んだり、サードパーティ製のウィジェットを埋め込んだり、フォームからの送信を受け付けたりする場合は、CSPを最優先で導入してください。まずは`Content-Security-Policy-Report-Only`モードから始め、1週間かけて違反情報を収集した後、強制モードに移行してください。
    HSTSとHTTPからHTTPSへのリダイレクトの違いは何ですか?
    HTTPSリダイレクトはサーバー側で行われるものであり、ユーザーが初めて `http://...` をリクエストした際に301または308を返します。この最初のリクエストは依然として平文で送信されるため、傍受される可能性があります。 HSTS(`Strict-Transport-Security`)は、ブラウザが一度このヘッダーを認識すると、ユーザーが `https://` と入力する前であっても、そのドメインへの平文リクエストを一切拒否するヘッダーです。`preload` ディレクティブと `hstspreload.org` への登録を組み合わせることで、ドメインがブラウザのプリロードリストに追加されるため、最初の接続からすでにセキュリティが確保されます。
    このツールで、内部URLや非公開URLを確認することはできますか?
    パブリックインターネットからアクセス可能な場合に限ります。取得は当社のエッジ側でサーバーサイドで行われるため、VPNの背後にあるURL、プライベートネットワーク上のURL、または`localhost`経由でのみアクセス可能なURLは機能しません。 内部サービスについては、ネットワーク内のホストから `curl -I ` を実行するか、プライベートノードからプローブを実行できる Xitoring の [ウェブサイト監視](https://xitoring.com/website-monitoring) をご利用ください。
    なぜ応答時間がブラウザに表示されているものと異なるのですか?
    報告されている時間は、当社のエッジからお客様のサーバーへの単一の `HEAD` リクエストにかかる時間を測定したものです。これは、往復時間(RTT)にレスポンスヘッダーの生成にかかる時間を加えたものです。 ブラウザによる測定には、DNS解決、TLSハンドシェイク、コンテンツの完全なダウンロード、レンダリングをブロックするスクリプトの実行、およびその間のリダイレクトも含まれます。実際のフィールドパフォーマンスを測定するには、Real User Monitoring(RUM)またはPageSpeed Insights経由のCore Web Vitalsをご利用ください。複数の地域からの合成テストを行う場合は、Xitoringのウェブサイト監視サービスをご利用ください。

    その他の無料ツール

    IPサブネット計算ツール
    DNS検索
    HTTPヘッダーチェッカー
    Pingツール
    WHOIS検索
    SSL証明書チェッカー
    ポートスキャナー
    トレースルート
    ウェブサイトの速度測定
    メールブラックリストチェッカー
    逆DNS検索
    MTRツール
    IPアドレスによる位置情報特定
    帯域幅計算ツール
    MACアドレスの検索
    URLエンコーダー/デコーダー
    JSONフォーマッター
    Base64エンコーダー
    HTTPステータスコード
    パスワード生成ツール
    Cron式パーサー
    正規表現テスター