Security.txt チェッカー
🔍 公開URLのHTTPレスポンスヘッダーを検査し、セキュリティ、パフォーマンス、SEOに関する即時インサイトを取得します。CSP、HSTS、クッキー、CORS、キャッシュ、リダイレクト動作を一目で確認 – ログイン不要、APIキー不要、インストール不要。
このHTTPヘッダーツールでできること
- ヘッダーをセキュリティ、パフォーマンス、SEO、非推奨、その他のグループに分類し、高速スキャンを実現
- 全体、セキュリティ、パフォーマンス、SEOヘッダーの簡易スコアを計算し、一目で状況を把握
- CSP、HSTS、Referrer-Policy、X-Frame-Options、COOP/COEP/CORP、Origin-Agent-Clusterなどのセキュリティヘッダーを強調表示
- Set-Cookieフラグを分析し、Secure、HttpOnly、SameSite属性の欠落を発見
- X-XSS-Protection、X-Powered-By、実装詳細を漏洩するServerバナーなど、非推奨またはリスクのあるヘッダーを検出
- Cache-Control、Content-Encoding、ETag、Last-Modified、Server-Timingなどのパフォーマンスヘッダーの調整を支援
- Link(canonical/alternate)やX-Robots-TagなどのSEO関連ヘッダー、および存在する場合はContent-Languageを表示
- アカウント不要、APIキー不要 – 公開URLを貼り付けてヘッダーを検査し、設定を繰り返し改善
🛠️ HTTPヘッダービューアーの使い方 for security-txt-checker
1. URLを入力
🔗 有効なHTTPまたはHTTPSのURLを入力フィールドに貼り付けます。公開エンドポイントや公開APIが最適です。
2. ヘッダーを取得
🌐 バックエンドがURLにリクエストを送信し、可能な場合はリダイレクトを追跡しながらレスポンスヘッダーを収集します。完全なHTML本文ではなく、ヘッダーと基本的なメタデータのみが検査されます。
3. カテゴリーとスコアを確認
🧠 ヘッダーは、セキュリティ、パフォーマンス、SEO、Cookie、非推奨、その他のカテゴリーに分類されます。ツールは、ヘッダー構成からスコア、問題点、警告、推奨事項を導き出します。
4. 修正して再テスト
🔁 サーバー、CDN、またはリバースプロキシの設定を調整し、スコアと警告が目標に合致するまでチェックを再実行します。インフラストラクチャを変更する際の迅速なフィードバックループとしてご利用ください。
技術詳細
リクエストとレスポンスの処理
このツールは、完全なページコンテンツではなく、レスポンスヘッダーと基本的な接続メタデータに焦点を当てています。
| 側面 | 動作 | 備考 |
|---|---|---|
| HTTPメソッド | HEADまたはGET(実装依存) | ヘッダーのみが検査されます。GETへのフォールバックが必要な場合を除き、本文は無視されます。 |
| リダイレクト | 利用可能な場合はリダイレクトチェーンを記録 | 301/302チェーン、正規ターゲット、設定ミスによるジャンプのデバッグに有用です。 |
| HTTPバージョン | 提供された場合は取得 | HTTP/1.1とHTTP/2/3のセットアップの識別、およびアップグレードの可能性の特定に役立ちます。 |
| サーバーバナー | Serverヘッダーから読み取り | 情報漏洩(フレームワーク、バージョン)の可能性について警告するために使用されます。 |
| エラー処理 | エラーフィールドは別途表示 | 取得に失敗した場合でも、クラッシュではなく読み取り可能なエラー状態が表示されます。 |
ヘッダーの分類と分析
ヘッダーは正規化され、専用のチェックとヒントを持つタイプ別バケットに分類・分析されます。
| カテゴリー | 典型的なヘッダー | チェックとインサイト |
|---|---|---|
| セキュリティ | Content-Security-Policy、Strict-Transport-Security、X-Frame-Options、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP、Origin-Agent-Cluster | 存在の検証、弱いまたは欠落しているディレクティブのフラグ付け、安全でないCSPパターンと開発オリジンの検出。 |
| パフォーマンス | Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Link(preload/prefetch)、Server-Timing | キャッシュヒント、圧縮、バイト範囲サポート、パフォーマンス関連のLinkヘッダーのチェック。 |
| SEO | Link(canonical/alternate)、X-Robots-Tag、Content-Language | ヘッダーレベルでの正規/代替ヒントとロボットディレクティブの検出、および存在する場合の言語メタデータ。 |
| クッキー | Set-Cookie | Secure、HttpOnly、SameSite属性をスキャンし、フラグが欠落しているか弱く見える場合に警告します。 |
| 非推奨 | X-XSS-Protection、Public-Key-Pins、レガシーCSPバリアント | 削除または最新の代替手段に置き換えるべきヘッダーにフラグを立てます。 |
スコアリングモデル
スコアはヒューリスティックであり、完全なセキュリティ監査ではありませんが、作業の優先順位付けや環境の比較に役立ちます。
| スコア | 測定内容 | 計算方法 |
|---|---|---|
| 総合スコア | 一般的なヘッダーの健全性 | すべての重み付けされたヘッダーにわたる比率 – 主に存在ベースで軽度の重み付け。 |
| セキュリティスコア | セキュリティ関連の強化 | CSP、HSTS、フレーミング制御、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP、Origin-Agent-Clusterに重み付け。 |
| パフォーマンススコア | キャッシングと転送効率 | Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Server-Timing、パフォーマンス関連のLink使用に重み付け。 |
| SEOスコア | ヘッダーレベルのSEOシグナル | X-Robots-Tag、正規/代替Linkヘッダー、および存在する場合のContent-Languageに重み付け。 |
ヘッダー検査のためのCLI代替手段
ターミナルを好む、またはヘッダーチェックをCI/CDに統合しますか?このツールのローカルコンパニオンとして以下のコマンドを使用してください:
Linux/macOS
curlを使用してレスポンスヘッダーを表示
curl -I https://example.comHEADリクエストを送信し、クイックサニティチェックのためにレスポンスヘッダーを出力します。
ヘッダーとTLSネゴシエーションを含む詳細出力
curl -v https://example.comリダイレクト、TLS設定、接続詳細のデバッグ時に有用です。
Windows (PowerShell)
Invoke-WebRequestでヘッダーを取得・検査
(Invoke-WebRequest -Uri https://example.com).HeadersヘッダーをPowerShellオブジェクトとして表示し、追加のフィルタリングやスクリプティングに備えます。
実用的な応用例
セキュリティヘッダーの確認
- 主要エンドポイントでCSP、HSTS、Referrer-Policy、Permissions-Policyヘッダーの欠落を確認。
- ナンスやハッシュなしの'unsafe-inline'など、安全でないCSPディレクティブを検出。
- Secure属性やSameSite属性が欠落しているクッキーを特定し、セッション強化のための修正を計画。
パフォーマンスとキャッシュの診断
- 静的および動的ルート全体でCache-Control、ETag、Content-Encodingの設定を検査。
- CDNからのpreloadやpreconnectリンクヘッダーなど、パフォーマンス向上のヒントが存在するか確認。
- ステージング、プレビュー、本番環境間のパフォーマンス関連ヘッダーを比較。
SEOとリダイレクトチェーンの分析
- 301/302リダイレクトチェーンを検査し、最終的なランディングURLが正規かつ安全であることを確認。
- HTMLページやローカライズ版の正規および代替リンクヘッダーを確認。
- インデックス作成、スニペット動作、メディア処理に関するX-Robots-Tagディレクティブを検証。
❓ Frequently Asked Questions
❓HTTPレスポンスヘッダーとは何ですか?なぜ重要ですか?
HTTPレスポンスヘッダーは、サーバーが本文の前に送信するキーと値のペアです。キャッシュ、セキュリティポリシー、リダイレクト、CORS、クッキーを制御し、ブラウザやクローラーがサイトを解釈する方法を決定します。これらを適切に設定することは、セキュリティ、パフォーマンス、SEOにとって極めて重要です。🔒テストしたURLはどこかに保存されますか?
🧪APIレスポンスの検査に使用できますか?
APIエンドポイントがリクエストを行うサーバーから公開アクセス可能であれば使用できます。これは、JSONやXML APIのCORSヘッダー、レート制限のヒント、キャッシュ動作、コンテンツタイプを検査するのに特に有用です。🕵️♂️認証の裏側にあるページでも機能しますか?
📈スコアは完全なセキュリティ監査ですか?
Pro Tips
ステージング、プレビュー、本番環境間でヘッダーを比較し、いずれかの環境でセキュリティ強化やキャッシュルールが欠落していないか確認しましょう。
Server および X-Powered-By ヘッダーは情報漏洩と見なし、可能な限り本番環境では削除または最小化しましょう。
静的アセットに対しては、まず Cache-Control と Content-Encoding を調整しましょう。これらは最小限のリスクで最大のパフォーマンス向上をもたらすことが多いです。
主要なインフラ変更(CDN、リバースプロキシ、TLSオフロード、新規ホストなど)の後には、このツールを実行してヘッダーが正しく設定されていることを確認しましょう。
Additional Resources
Other Tools
- CSSビューティファイア
- HTMLビューティファイア
- JavaScriptビューティファイア
- PHPビューティファイア
- カラーピッカー
- スプライト抽出ツール
- Base32 バイナリエンコーダー
- Base32 デコーダー
- Base32 エンコーダー
- Base58 バイナリエンコーダー
- Base58 デコーダー
- Base58 エンコーダー
- Base62 バイナリエンコーダー
- Base62 デコーダー
- Base62 エンコーダー
- Base64 バイナリエンコーダー
- Base64デコーダー
- Base64エンコーダー
- 16進数バイナリエンコーダー
- 16進数デコーダー
- 16進数エンコーダー
- C#フォーマッタ
- CSVフォーマッタ
- Dockerfile Formatter
- Elmフォーマッタ
- ENVフォーマッタ
- Goフォーマッタ
- GraphQLフォーマッタ
- HCLフォーマッタ
- INIフォーマッタ
- JSONフォーマッタ
- LaTeXフォーマッタ
- Markdownフォーマッタ
- Objective-Cフォーマッタ
- Php Formatter
- Protoフォーマッタ
- Pythonフォーマッタ
- Rubyフォーマッタ
- Rustフォーマッタ
- Scalaフォーマッタ
- シェルスクリプトフォーマッタ
- SQLフォーマッタ
- SVG フォーマッタ
- Swift フォーマッタ
- TOML フォーマッタ
- Typescript Formatter
- XML フォーマッタ
- YAML フォーマッタ
- Yarn フォーマッタ
- CSSミニファイア
- Html Minifier
- Javascript Minifier
- JSONミニファイア
- XML ミニファイア
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- HTTPヘッダービューア
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDFからテキストへ
- 正規表現テスター
- SERPランクチェッカー
- Whois ルックアップ