HTTPヘッダービューア
このHTTPヘッダーツールでできること
- ヘッダーをセキュリティ、パフォーマンス、SEO、非推奨、その他のグループに分類し、迅速なスキャンを実現
- 全体、セキュリティ、パフォーマンス、SEOヘッダーのシンプルなスコアを計算し、一目で状況を把握
- CSP、HSTS、Referrer-Policy、X-Frame-Options、COOP/COEP/CORP、Origin-Agent-Clusterなどのセキュリティヘッダーを強調表示
- Set-Cookieフラグを分析し、Secure、HttpOnly、SameSite属性の欠落を検出
- X-XSS-Protection、X-Powered-By、実装詳細を漏洩するServerバナーなど、非推奨または危険なヘッダーを検出
- Cache-Control、Content-Encoding、ETag、Last-Modified、Server-Timingなどのパフォーマンスヘッダーの調整を支援
- Link(canonical/alternate)やX-Robots-Tag、Content-Language(存在する場合)など、SEO関連ヘッダーを表示
- アカウント不要、APIキー不要 – 公開URLを貼り付けてヘッダーを検査し、設定を反復改善
🛠️ HTTPヘッダービューアの使い方 for http-headers-viewer
1. URLを入力
🔗 有効なHTTPまたはHTTPSのURLを入力フィールドに貼り付けます。公開エンドポイントや公開APIが最適です。
2. ヘッダーを取得
🌐 バックエンドがURLにリクエストを送信し、可能な場合はリダイレクトを追跡してレスポンスヘッダーを収集します。完全なHTML本文ではなく、ヘッダーと基本メタデータのみが検査されます。
3. カテゴリーとスコアを確認
🧠 ヘッダーはセキュリティ、パフォーマンス、SEO、Cookie、非推奨、その他のカテゴリーに分類されます。ツールはヘッダー設定からスコア、問題点、警告、推奨事項を導き出します。
4. 修正して再テスト
🔁 サーバー、CDN、またはリバースプロキシの設定を調整し、スコアと警告が目標に合致するまでチェックを再実行します。インフラストラクチャを変更する際の迅速なフィードバックループとして活用できます。
技術詳細
リクエストとレスポンスの処理
このツールは完全なページコンテンツではなく、レスポンスヘッダーと基本的な接続メタデータに焦点を当てています。
| 側面 | 動作 | 備考 |
|---|---|---|
| HTTPメソッド | HEADまたはGET(実装依存) | ヘッダーのみが検査され、GETフォールバックが必要な場合を除き本文は無視されます。 |
| リダイレクト | 利用可能な場合はリダイレクトチェーンを記録 | 301/302チェーン、正規ターゲット、設定ミスのジャンプをデバッグするのに有用です。 |
| HTTPバージョン | 提供された場合にキャプチャ | HTTP/1.1とHTTP/2/3のセットアップ識別とアップグレードの可能性評価に役立ちます。 |
| サーバーバナー | Serverヘッダーから読み取り | 情報漏洩の可能性(フレームワーク、バージョン)を警告するために使用されます。 |
| エラー処理 | エラーフィールドを個別に表示 | フェッチが失敗した場合でも、クラッシュではなく読み取り可能なエラー状態が表示されます。 |
ヘッダー分類と分析
ヘッダーは正規化され、専用のチェックとヒントを持つタイプ別カテゴリーに分析されます。
| カテゴリー | 代表的なヘッダー | チェックとインサイト |
|---|---|---|
| セキュリティ | Content-Security-Policy、Strict-Transport-Security、X-Frame-Options、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP、Origin-Agent-Cluster | 存在の検証、弱いまたは欠落したディレクティブのフラグ付け、安全でないCSPパターンと開発オリジンの検出。 |
| パフォーマンス | Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Link(preload/prefetch)、Server-Timing | キャッシュヒント、圧縮、バイト範囲サポート、パフォーマンス関連のLinkヘッダーのチェック。 |
| SEO | Link(canonical/alternate)、X-Robots-Tag、Content-Language | ヘッダーレベルでの正規/代替ヒントとロボットディレクティブの検出、および存在する場合の言語メタデータ。 |
| クッキー | Set-Cookie | Secure、HttpOnly、SameSite属性のスキャンと、フラグが欠落しているか弱く見える場合の警告。 |
| 非推奨 | X-XSS-Protection、Public-Key-Pins、レガシーCSPバリアント | 削除または最新の代替手段に置き換えるべきヘッダーのフラグ付け。 |
スコアリングモデル
スコアはヒューリスティックであり、完全なセキュリティ監査ではありませんが、作業の優先順位付けと環境の比較に役立ちます。
| スコア | 測定内容 | 計算方法 |
|---|---|---|
| 総合スコア | 一般的なヘッダーの健全性 | すべての重み付けされたヘッダーにわたる比率 – 主に存在ベースで軽度の重み付け。 |
| セキュリティスコア | セキュリティ関連の強化 | CSP、HSTS、フレーミング制御、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP、Origin-Agent-Clusterに重み付け。 |
| パフォーマンススコア | キャッシングと転送効率 | Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Server-Timing、パフォーマンス関連のLink使用に重み付け。 |
| SEOスコア | ヘッダーレベルのSEOシグナル | X-Robots-Tag、正規/代替Linkヘッダー、Content-Language(存在する場合)に重み付け。 |
ヘッダー検査のCLI代替手段
ターミナルを好む、またはヘッダーチェックをCI/CDに統合しますか?このツールのローカルコンパニオンとして以下のコマンドを使用してください:
Linux/macOS
curlを使用してレスポンスヘッダーを表示
curl -I https://example.comHEADリクエストを送信し、レスポンスヘッダーを出力して簡単な健全性チェックを行います。
ヘッダーとTLSネゴシエーションを含む詳細な出力
curl -v https://example.comリダイレクト、TLS設定、接続詳細のデバッグ時に有用です。
Windows (PowerShell)
Invoke-WebRequestでヘッダーを取得・検査
(Invoke-WebRequest -Uri https://example.com).HeadersPowerShellオブジェクトとしてヘッダーを表示し、追加のフィルタリングやスクリプト処理にすぐに利用できます。
実用的な応用例
セキュリティヘッダー確認
- 重要なエンドポイントでCSP、HSTS、Referrer-Policy、Permissions-Policyヘッダーの欠落を確認。
- ナンスやハッシュなしの'unsafe-inline'など安全でないCSPディレクティブを検出。
- Secure属性やSameSite属性が欠落しているクッキーを発見し、セッション強化の修正計画を立てる。
パフォーマンス&キャッシュ診断
- 静的および動的ルート全体でCache-Control、ETag、Content-Encoding設定を検査。
- CDNからのpreloadやpreconnect Linkヘッダーなど、パフォーマンス向上のヒントが存在するか確認。
- ステージング、プレビュー、本番環境間でのパフォーマンス関連ヘッダーを比較。
SEO&リダイレクトチェーン分析
- 301/302リダイレクトチェーンを検査し、最終到達URLが正規かつ安全であることを確認。
- HTMLページやローカライズ版での正規および代替Linkヘッダーを確認。
- インデックス、スニペット動作、メディア処理に関するX-Robots-Tagディレクティブを検証。
❓ Frequently Asked Questions
❓HTTPレスポンスヘッダーとは何ですか?なぜ重要ですか?
HTTPレスポンスヘッダーは、サーバーが本文の前に送信するキーと値のペアです。キャッシュ、セキュリティポリシー、リダイレクト、CORS、クッキーを制御し、ブラウザやクローラーがサイトを解釈する方法を決定します。これらを適切に設定することは、セキュリティ、パフォーマンス、SEOにとって極めて重要です。🔒テストしたURLはどこかに保存されますか?
🧪APIレスポンスの検査に使用できますか?
APIエンドポイントがリクエストを行うサーバーから公開アクセス可能であれば使用できます。CORSヘッダー、レート制限のヒント、キャッシュ動作、JSONやXML APIのコンテンツタイプを検査する際に特に有用です。🕵️♂️認証が必要なページでも機能しますか?
📈スコアは完全なセキュリティ監査ですか?
Pro Tips
ステージング、プレビュー、本番環境間でヘッダーを比較し、いずれかの環境でセキュリティ強化やキャッシュルールが欠落している箇所を特定しましょう。
ServerおよびX-Powered-Byヘッダーは情報漏洩として扱い、可能な限り本番環境では削除または最小化してください。
静的アセットではまずCache-ControlとContent-Encodingを調整しましょう。これらは最小限のリスクで最大のパフォーマンス向上をもたらすことが多いです。
主要なインフラ変更(CDN、リバースプロキシ、TLSオフロード、新規ホストなど)の後には、このツールを実行してヘッダーが正しく設定されていることを確認しましょう。
Additional Resources
Other Tools
- CSSビューティファイア
- HTMLビューティファイア
- JavaScriptビューティファイア
- PHPビューティファイア
- カラーピッカー
- スプライト抽出ツール
- Base64デコーダー
- Base64エンコーダー
- C#フォーマッタ
- CSVフォーマッタ
- Dockerfile Formatter
- Elmフォーマッタ
- ENVフォーマッタ
- Goフォーマッタ
- GraphQLフォーマッタ
- HCLフォーマッタ
- INIフォーマッタ
- JSONフォーマッタ
- LaTeXフォーマッタ
- Markdownフォーマッタ
- Objective-Cフォーマッタ
- Php Formatter
- Protoフォーマッタ
- Pythonフォーマッタ
- Rubyフォーマッタ
- Rustフォーマッタ
- Scalaフォーマッタ
- シェルスクリプトフォーマッタ
- SQLフォーマッタ
- SVG フォーマッタ
- Swift フォーマッタ
- TOML フォーマッタ
- Typescript Formatter
- XML フォーマッタ
- YAML フォーマッタ
- Yarn フォーマッタ
- CSSミニファイア
- Html Minifier
- Javascript Minifier
- JSONミニファイア
- XML ミニファイア
- PDFからテキストへ
- 正規表現テスター
- SERPランクチェッカー
- Whois ルックアップ