どのようにヘッダを取得すれば良いですか？

Chrome DevToolsのNetworkタブでリクエストを選び、Headers → Response Headers をコピーするのが最も簡単です。または curl -I URL や curl -i URL のレスポンス先頭部分を貼り付けても解析できます。HTTP/1.1 から始まるステータス行を含めても自動で認識します。

入力形式に決まりはありますか？

1行1ヘッダの "Name: Value" 形式が基本です。先頭の HTTP/1.1 200 OK 等のステータス行は自動的に検出します。空行以降の本文は無視されます。

警告が出ないからといって完璧ですか？

本ツールは典型的なミスや不足を検出しますが、CSP のディレクティブ自体の妥当性やビジネスロジックに合わせた最適化までは判定できません。本番運用前には Mozilla Observatory や securityheaders.com なども併用してください。

非標準のヘッダはどう扱われますか？

登録のないヘッダは OTHER カテゴリで表示され、構造的な分解は行われません。X-Request-Id 等のよく使われるカスタムヘッダは認識対象に含まれています。

データはサーバーに送信されますか？

いいえ、すべての処理はブラウザ内で完結します。Authorization や Set-Cookie のセッションIDなどを含むヘッダも安全に貼り付けられます。

HTTPヘッダアナライザー

// レスポンスヘッダー

ステータス行HTTP/1.1 200 OK

// ヘッダー (18)

DateSERVER

Sat, 26 Apr 2026 12:00:00 GMT

サーバーがレスポンスを生成した日時。

Content-TypeCONTENT

application/json; charset=utf-8

レスポンスボディのMIMEタイプ。charset の指定も推奨。

application/json
charset=utf-8

Content-LengthCONTENT

1234

レスポンスボディのバイト数。

Cache-ControlCACHE

public, max-age=3600

キャッシュ動作を制御。public/private、max-age、no-store、no-cache、must-revalidate などを指定。

public
max-age=3600

Strict-Transport-SecuritySECURITY

max-age=31536000; includeSubDomains; preload

HTTPS接続を強制し、HTTPアクセスをブラウザ側で禁止します。max-ageでHSTS記憶期間（秒）を指定。

max-age=31536000
includeSubDomains
preload

Content-Security-PolicySECURITY

default-src 'self'; script-src 'self' 'unsafe-inline'

スクリプト・スタイル・画像など各リソースの読込元を制限し、XSSを大幅に軽減するヘッダー。

default-src 'self'
script-src 'self' 'unsafe-inline'

X-Content-Type-OptionsSECURITY

nosniff

MIMEスニッフィングを無効化。"nosniff" を設定すべき。

X-Frame-OptionsSECURITY

DENY

iframe埋め込みを制限してクリックジャッキング対策。DENY または SAMEORIGIN を推奨。

Referrer-PolicySECURITY

strict-origin-when-cross-origin

Refererヘッダの送信ポリシー。strict-origin-when-cross-origin が推奨。

Permissions-PolicySECURITY

geolocation=(), camera=()

Camera/Microphone/Geolocation等のブラウザ機能利用可否を制御。

geolocation=()
camera=()

Access-Control-Allow-OriginCORS

https://app.example.com

クロスオリジン許可するオリジン。* で全許可、URLで限定。

Access-Control-Allow-CredentialsCORS

true

Cookieや認証情報を含むリクエストの許可。trueの場合 Allow-Origin に * は使えません。

Set-Cookie

session=abc123; Path=/; Secure; HttpOnly; SameSite=Strict

Cookieを設定。Secure / HttpOnly / SameSite 属性の確認推奨。

session=abc123
Path=/
Secure
HttpOnly
SameSite=Strict

ETagCACHE

"33a64df5"

リソースのバージョン識別子。If-None-Match と組み合わせ条件付きリクエストに利用。

VaryCACHE

Accept-Encoding, Origin

キャッシュキーに含めるリクエストヘッダー。Accept-Encoding/Accept が一般的。

Accept-Encoding
Origin

X-RateLimit-LimitRATE

1000

時間あたり許可される最大リクエスト数（事実上の標準）。

X-RateLimit-RemainingRATE

998

残り許可リクエスト数。

ServerSERVER

nginx

サーバーソフト情報。バージョン情報を含めるのは情報漏えいリスク。

// HTTPヘッダアナライザーの機能と特徴

解析できる項目

セキュリティ系（Strict-Transport-Security / Content-Security-Policy / X-Frame-Options / X-Content-Type-Options / Referrer-Policy / Permissions-Policy / Cross-Origin-* 系）、CORS系（Access-Control-* 全種）、キャッシュ系（Cache-Control / Expires / ETag / Last-Modified / Vary）、Cookie（Set-Cookie の Secure / HttpOnly / SameSite 属性）、認証（WWW-Authenticate）、レート制限（X-RateLimit-* / RateLimit-* / Retry-After）、トレーシング（X-Request-Id / traceparent）など主要なHTTPヘッダを認識し、それぞれの意味と推奨設定を表示します。

自動警告

Server ヘッダにバージョン情報が含まれている、X-Powered-By が露出している、Access-Control-Allow-Origin: * と Allow-Credentials: true の併用、HSTS の max-age が短すぎる、Set-Cookie に Secure / HttpOnly / SameSite が無い、X-Frame-Options が DENY/SAMEORIGIN 以外、Content-Type に charset が無い、などの危険な構成を自動検出して警告します。

不足ヘッダの提案

Strict-Transport-Security / Content-Security-Policy / X-Content-Type-Options / X-Frame-Options / Referrer-Policy / Permissions-Policy のうち未設定のものを一覧化し、設定理由（XSS対策・クリックジャッキング対策など）を表示します。

値の構造化表示

Cache-Control の各ディレクティブ、Set-Cookie の各属性、Content-Security-Policy の各ソースディレクティブ、Permissions-Policy の各機能制限、Strict-Transport-Security の max-age / includeSubDomains / preload など、複合的な値は自動で分解してリスト表示します。

プライバシー

貼り付けたヘッダはすべてブラウザ内で処理され、サーバーには送信されません。社内システムのレスポンスヘッダや認証情報を含むヘッダも安全に解析できます。

// HTTPヘッダアナライザーに関するよくある質問

どのようにヘッダを取得すれば良いですか？: Chrome DevToolsのNetworkタブでリクエストを選び、Headers → Response Headers をコピーするのが最も簡単です。または curl -I URL や curl -i URL のレスポンス先頭部分を貼り付けても解析できます。HTTP/1.1 から始まるステータス行を含めても自動で認識します。
入力形式に決まりはありますか？: 1行1ヘッダの "Name: Value" 形式が基本です。先頭の HTTP/1.1 200 OK 等のステータス行は自動的に検出します。空行以降の本文は無視されます。
警告が出ないからといって完璧ですか？: 本ツールは典型的なミスや不足を検出しますが、CSP のディレクティブ自体の妥当性やビジネスロジックに合わせた最適化までは判定できません。本番運用前には Mozilla Observatory や securityheaders.com なども併用してください。
非標準のヘッダはどう扱われますか？: 登録のないヘッダは OTHER カテゴリで表示され、構造的な分解は行われません。X-Request-Id 等のよく使われるカスタムヘッダは認識対象に含まれています。
データはサーバーに送信されますか？: いいえ、すべての処理はブラウザ内で完結します。Authorization や Set-Cookie のセッションIDなどを含むヘッダも安全に貼り付けられます。

// HTTPヘッダアナライザーの使い方

ヘッダを取得

Chrome DevToolsのNetworkタブまたは curl -I / curl -i コマンドでレスポンスヘッダを取得します。
貼り付け

上の入力欄に1行1ヘッダ（Name の後ろにコロンと値）で貼り付けます。HTTP/1.1 から始まるステータス行を含めても自動認識されます。
解析結果を確認

推奨事項・不足ヘッダ・各ヘッダの説明と分解された値が自動表示されます。SAMPLE (GOOD) / SAMPLE (WEAK) ボタンで対比サンプルも試せます。

カテゴリネットワーク

// HTTPヘッダ アナライザーの機能と特徴

解析できる項目

自動警告

不足ヘッダの提案

値の構造化表示

プライバシー

// HTTPヘッダ アナライザーに関するよくある質問

// HTTPヘッダ アナライザーの使い方

ヘッダを取得

貼り付け

解析結果を確認

// HTTPヘッダ アナライザーの関連ツール

// HTTPヘッダアナライザーの機能と特徴

// HTTPヘッダアナライザーに関するよくある質問

// HTTPヘッダアナライザーの使い方

// HTTPヘッダアナライザーの関連ツール