HTTPヘッダーアナライザー
任意のURLのHTTPレスポンスヘッダーを取得・分析します。セキュリティヘッダー、キャッシュ、CORSなどを確認できます。
このツールについて
HTTPヘッダーアナライザーは、任意のウェブサーバーが返す レスポンスヘッダーを検査できるツールです。URLを入力するだけで、 軽量なサーバーサイドプロキシを通じてページを取得し、リダイレクト チェーン全体、レスポンス時間、プロトコル情報を含むすべての ヘッダーをキャプチャします。
HTTPヘッダーは、すべてのウェブリクエストとレスポンスに付随する 目に見えないメタデータです。ブラウザがコンテンツをキャッシュ する方法、クロスオリジンリクエストの許可有無、適用される セキュリティポリシーなどを制御します。誤った設定のヘッダーは セキュリティ脆弱性、パフォーマンス低下、クロスオリジン 統合の破綻を引き起こす可能性があります。このツールは、それら すべての情報を整理されたダッシュボードで表示します。
セキュリティ分析モジュールは、Strict-Transport-Security、
Content-Security-Policy、X-Frame-Options、
X-Content-Type-Options を含む7つの重要なヘッダーを
チェックします。各ヘッダーは個別に評価され、AからFまでの
総合セキュリティスコアが算出されるため、サイトのヘッダーレベル
のセキュリティ態勢を素早く評価できます。
セキュリティ以外にも、Cache-Control ヘッダーの
キャッシュディレクティブの詳細分析、CORS設定の検査、レスポンス
背後のサーバーソフトウェアの特定が可能です。デプロイメントの
デバッグ、サードパーティAPIの監査、自サイトのセキュリティ
ヘッダーの強化など、このツールは即座に実用的なインサイトを
提供します。
<a
href={getLocalePath(locale, "/tools/curl-to-code")}
className="text-primary hover:underline"
Curl to Code Converter や <a href={getLocalePath(locale, "/tools/http-status-codes")} className="text-primary hover:underline"
HTTPステータスコード リファレンスとの併用がおすすめです。
使い方
- 入力フィールドに分析したいURLを入力します。
https://プレフィックスは省略時に自動追加されます。 - Fetch Headers をクリックするか Ctrl+Enter を押してリクエストを送信します。
- 結果上部のステータスコード、レスポンス時間、プロトコルを確認します。
- リダイレクトが発生した場合、Redirect Chain セクションで各ホップとステータスコードを確認します。
- Security Headers テーブルで総合グレードとヘッダーごとの詳細を確認します。
- Caching と CORS セクションでキャッシュ動作とクロスオリジンアクセスポリシーを確認します。
- All Response Headers テーブルで検索、フィルター、ヘッダー値のコピーが可能です。Copy All または Copy curl -I で結果をエクスポートします。
よくある質問
HTTPレスポンスヘッダーとは何ですか?
HTTPレスポンスヘッダーは、ウェブサーバーがレスポンスボディとともに送信するキーと値のペアです。コンテンツタイプ、キャッシュルール、セキュリティポリシー、サーバー情報など、レスポンスに関するメタデータを含みます。ブラウザはこれらのヘッダーを使用して、レスポンスの処理方法と表示方法を決定します。
セキュリティグレードの意味は何ですか?
セキュリティグレード(AからF)は、7つの重要なセキュリティヘッダー(HSTS、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options、X-XSS-Protection(非推奨)、Referrer-Policy、Permissions-Policy)の有無と正しい設定に基づいて算出されます。Aグレードはほとんどのヘッダーが適切に設定されていることを意味し、Fは複数のヘッダーが欠落していることを示します。
Strict-Transport-Security(HSTS)はなぜ重要ですか?
HSTSは、ユーザーがアドレスバーにhttp://と入力しても、常にHTTPS経由でサイトに接続するようブラウザに指示します。HSTSがない場合、HTTPSへのリダイレクト前の最初のHTTPリクエストを攻撃者が中間者攻撃で傍受する可能性があります。最低1年間(31536000秒)のmax-ageが推奨されます。
Content-Security-Policy(CSP)とは何ですか?
CSPは、ページ上でロードを許可するコンテンツのソース(スクリプト、スタイル、画像など)をブラウザに伝えるセキュリティヘッダーです。未承認のインラインスクリプトやサードパーティリソースをブロックするため、クロスサイトスクリプティング(XSS)攻撃に対する最も効果的な防御策です。CSPの設定は複雑になりえますが、基本的なポリシーでも大幅な保護を提供します。
キャッシュ分析はどのように動作しますか?
Cache-Controlヘッダーを解析し、max-age、no-cache、no-store、public、privateなどのディレクティブを抽出します。また、Expires、ETag、Last-Modifiedヘッダーも確認し、条件付きリクエストがサポートされているかを判断します。評価結果から、コンテンツがどのくらいの期間、どのような条件でキャッシュされるかがわかります。
データは安全ですか?
URLは同一ドメインの軽量なサーバーサイドプロキシを通じて取得されますが、レスポンスヘッダーのみがキャプチャ・返却されます。ページコンテンツの保存、ログ記録、第三者との共有は一切行われません。入力したURL以外の個人情報やデータが送信されることはありません。
このツールはURLをサーバーに送信しますか?
はい。CORSの制限によりブラウザがクロスオリジンのヘッダー検査をブロックするため、URLは同一ドメインの軽量なサーバーサイドプロキシを通じて取得されます。レスポンスヘッダーのみがキャプチャ・返却され、ページコンテンツの保存、ログ記録、第三者との共有は一切行われません。
認証が必要なページをテストできますか?
いいえ。サーバーサイドプロキシは、Cookieや認証トークンなしの匿名クライアントとしてURLを取得します。ページにログインが必要な場合、ログインページのヘッダーまたは認証エラーが返されます。認証が必要なエンドポイントをテストするには、ターミナルから適切な認証情報を付けてcurlなどのツールを直接使用してください。
関連ツール
OGプレビュー
URLがソーシャルメディアでどのように表示されるかをプレビューします。Open GraphとTwitter Cardメタタグを取得・表示。
Markdownリンクチェッカー
Markdownテキスト内のすべてのリンクを抽出・検証します。壊れたURL、欠落したアンカー、リダイレクトをチェック。
HTTPステータスコード
すべてのHTTPステータスコードを詳細な説明付きで検索・閲覧できます。
curl → コード変換
curlコマンドをPython、JavaScript fetch、PHP、Goなどのプログラミング言語に変換します。
CSPヘッダージェネレーター
Content Security Policyヘッダーをビジュアルに構築します。ディレクティブプリセットとリアルタイムポリシー出力付き。
Content-Typeヘッダービルダー
正しいMIMEタイプ、charset、boundaryパラメータでContent-Typeヘッダーを構築します。ヘッダーまたはcurlフラグとしてコピー。
HTTPメソッドリファレンス
GET、POST、PUT、PATCH、DELETE、HEAD、OPTIONSなどの詳細仕様を網羅したインタラクティブなHTTPメソッドリファレンス。
レートリミット計算ツール
APIレートリミットの単位を変換します。秒・分・時間・日あたりのリクエスト数とバースト容量を計算。
OAuth 2.0フロービジュアライザー
OAuth 2.0認可フローをステップごとの図で可視化します。Authorization Code、PKCE、Client Credentialsなどに対応。
CORSヘッダービルダー
CORSヘッダーをビジュアルに構築します。許可オリジン、メソッド、ヘッダー、認証情報をライブヘッダー出力で設定。
Cache-Controlビルダー
Cache-Controlヘッダーをトグルスイッチで視覚的に構築。各ディレクティブの設定、期間プリセット、サーバー設定スニペット付き。
User-Agentパーサー
User-Agent文字列を解析し、ブラウザ、OS、デバイスタイプ、レンダリングエンジンを特定。ボット/クローラー検出対応。