HTTPヘッダー解析の使い方は？

1. ブラウザの DevTools (F12 → Network → Response Headers)、curl、またはサーバーログからヘッダーテキストをコピーします 2. テキストエリアにヘッダーを貼り付けて「解析」ボタンをクリック。HTTP ステータス行（HTTP/1.1 200 OK）や空行は自動的に処理されます 3. ヘッダー一覧表でリアルタイム表示、セキュリティスコア（0-100）でセキュリティ状態を把握します 4. セキュリティ診断から欠落ヘッダーと推奨設定、キャッシュ分析から max-age・no-cache などの意味を確認します 5. Cookie セキュリティでは HttpOnly、Secure、SameSite フラグを検証；CORS では Access-Control-Allow-Origin の安全性を確認します 6. 注意セクションで情報漏洩ヘッダー（X-Powered-By など）や廃止予定ヘッダーをチェック、改善アドバイスを実装します

HTTPヘッダー解析を使うメリットは？

ブラウザ完結で外部通信なし — 機密ヘッダー情報を安全に解析、内部情報漏洩を防止. セキュリティヘッダー 7 種の自動チェック、各欠落に対する具体的な設定例を提示. Cache-Control の 8 つのディレクティブを個別に解説、キャッシュ戦略を最適化. Set-Cookie の HttpOnly・Secure・SameSite を検証、XSS・CSRF・盗聴攻撃をブロック. CORS ワイルドカード（*）と credentials の矛盾を警告、認証情報漏洩を防止. X-Powered-By などの情報漏洩ヘッダーを自動検出、削除推奨を明示. 0-100 スコアで一目でセキュリティ状態を把握、OWASP ガイドラインに準拠.

HTTPヘッダー解析は無料ですか？

はい、完全無料でご利用いただけます。ユーザー登録も不要で、すべての処理はブラウザ内で完結します。データがサーバーに送信されることはありません。

HTTPヘッダー解析

HTTPレスポンスヘッダーをペーストして包括的なセキュリティ分析

📋 HTTPレスポンスヘッダー

セキュリティスコア

セキュリティ診断

キャッシュ分析

ヘッダー一覧

名前	値	説明

HTTPヘッダー解析で出来る事 About HTTP Header Analyzer

HTTPヘッダー解析ツールは、Webサーバーから返されるHTTPレスポンスヘッダーを多角的に分析し、セキュリティ、キャッシュ戦略、認証情報保護、CORS 設定を包括的に診断するツールです。API やブラウザ、Web サーバーのレスポンスヘッダーをコピーして貼り付けるだけで、セキュリティスコア（0-100）、欠落ヘッダーの推奨設定、キャッシュ最適化アドバイスを即座に取得できます。 **セキュリティ診断機能** では、OWASP ガイドラインに基づいた 7 種類の重要なセキュリティヘッダーをチェックします。Strict-Transport-Security（HSTS）は HTTPS 強制によるプロトコルダウングレード攻撃の防止；Content-Security-Policy（CSP）は XSS やインジェクション攻撃の防止；X-Content-Type-Options は MIME スニッフィングの防止；X-Frame-Options はクリックジャッキング攻撃の防止；Referrer-Policy はリファラー情報漏洩の防止；Permissions-Policy はカメラ・マイク等のブラウザ機能の制限を実現します。欠落しているヘッダーには、各サーバー環境に応じた具体的な設定値例を提示するため、改善実装が容易です。 **キャッシュ分析機能** では、Cache-Control ディレクティブを個別に詳しく解説します。max-age（秒単位の有効期限）、no-store（キャッシュ禁止）、no-cache（毎回検証必須）、must-revalidate（有効期限切後は条件付きリクエスト必須）、immutable（永遠に変わらないリソース）などのディレクティブが、実際のキャッシュ動作にどう影響するかを明示化。さらに Expires、ETag、Last-Modified などの条件付きリクエスト対応ヘッダーを検出し、304 Not Modified による帯域幅節約機会を提案します。 **Cookie セキュリティ検証** では、Set-Cookie ヘッダーの 3 つの重要なフラグを個別にチェックします。Secure フラグはHTTPで送信される盗聴リスク、HttpOnly フラグ欠落は XSS による JavaScript アクセスリスク、SameSite フラグ欠落は CSRF 攻撃リスクを警告し、各フラグの推奨値（HttpOnly=必須、Secure=HTTPS 環境では必須、SameSite=Strict/Lax 推奨）を明示します。 **CORS 検証機能** では、Access-Control-Allow-Origin、Allow-Methods、Allow-Credentials の設定を分析します。特に危険な組み合わせである「Allow-Origin: * と credentials: true」は認証情報が漏洩する可能性があるため赤い警告で強調。また、ワイルドカード（*）による許可範囲の広さを認識させ、具体的なオリジン指定（例：https://trusted-domain.com）への移行を推奨します。 **警告ヘッダー検出** では、セキュリティリスクとなるヘッダーを自動検出します。X-Powered-By（Express、Tomcat などのフレームワーク情報）、Server（Apache、nginx などのサーバー情報）は、攻撃者に脆弱性調査の足がかりを与えるため削除推奨。X-UA-Compatible（Internet Explorer 互換モード）は已廃止でモダンブラウザでは無意味のため、削除または無視することを勧めます。完全にブラウザ内で処理（クライアントサイド）するため、コピーしたヘッダーテキストがサーバーに送信されることはなく、機密性の高いシステムヘッダー情報を安全に分析できます。 The HTTP Header Analyzer provides comprehensive analysis of HTTP response headers returned by web servers, diagnosing security, caching strategy, authentication protection, and CORS configuration in one tool. Simply copy HTTP response headers from browser DevTools, curl, or your API and paste them to instantly receive a security score (0-100), specific recommendations for missing headers, and cache optimization advice. **Security Diagnosis** checks 7 critical security headers aligned with OWASP guidelines. Strict-Transport-Security (HSTS) enforces HTTPS to prevent protocol downgrade attacks; Content-Security-Policy (CSP) blocks XSS and injection attacks; X-Content-Type-Options prevents MIME type sniffing; X-Frame-Options prevents clickjacking; Referrer-Policy restricts referrer leakage; Permissions-Policy controls browser capabilities (camera, microphone). For missing headers, the tool provides concrete configuration examples for common server environments, making implementation straightforward. **Cache Analysis** explains each Cache-Control directive in detail. max-age specifies freshness in seconds; no-store forbids all caching; no-cache requires validation before reuse; must-revalidate enforces validation after expiration; immutable marks resources as never-changing. The tool clearly shows how each directive affects actual browser and CDN caching behavior. It detects Expires, ETag, and Last-Modified headers to identify 304 Not Modified optimization opportunities for bandwidth savings. **Cookie Security Verification** individually checks three critical Set-Cookie flags. Missing Secure flag risks HTTP transmission and eavesdropping; missing HttpOnly flag risks XSS-based JavaScript access; missing SameSite flag risks CSRF attacks. The tool displays recommended values (HttpOnly=required, Secure=required for HTTPS, SameSite=Strict/Lax preferred) for each flag. **CORS Validation** analyzes Access-Control-Allow-Origin, Allow-Methods, and Allow-Credentials settings. It highlights the critical misconfiguration of "Allow-Origin: * with credentials: true" in red, warning of auth token leakage. It emphasizes wildcard (*) risks and recommends migrating to explicit origin allowlists (e.g., https://trusted-domain.com). **Warning Header Detection** identifies security-risk headers. X-Powered-By (reveals Express, Tomcat, etc.) and Server headers (Apache, nginx) give attackers vulnerability research footholds and should be removed. X-UA-Compatible (IE compatibility mode) is deprecated and useless on modern browsers, recommended for removal. All processing occurs entirely in your browser (client-side), so sensitive header information is never transmitted to any server, ensuring safe analysis of confidential system headers.

HTTPヘッダー解析の使い方 How to use HTTP Header Analyzer

ブラウザの DevTools (F12 → Network → Response Headers)、curl、またはサーバーログからヘッダーテキストをコピーします
テキストエリアにヘッダーを貼り付けて「解析」ボタンをクリック。HTTP ステータス行（HTTP/1.1 200 OK）や空行は自動的に処理されます
ヘッダー一覧表でリアルタイム表示、セキュリティスコア（0-100）でセキュリティ状態を把握します
セキュリティ診断から欠落ヘッダーと推奨設定、キャッシュ分析から max-age・no-cache などの意味を確認します
Cookie セキュリティでは HttpOnly、Secure、SameSite フラグを検証；CORS では Access-Control-Allow-Origin の安全性を確認します
注意セクションで情報漏洩ヘッダー（X-Powered-By など）や廃止予定ヘッダーをチェック、改善アドバイスを実装します
Copy HTTP headers from browser DevTools (F12 → Network → Response Headers), curl, or server logs
Paste headers into the textarea and click Analyze. Status lines and empty lines are automatically handled
Review the header table in real-time; check the 0-100 security score to assess security posture
In Security Diagnosis, find missing headers with specific recommendations; in Cache Analysis, understand max-age, no-cache meanings
Verify Cookie flags (HttpOnly, Secure, SameSite); validate CORS Allow-Origin for safety
In Warnings section, review information-leak headers (X-Powered-By) and deprecated headers; implement suggested fixes

HTTPヘッダー解析を使うメリット Benefits of HTTP Header Analyzer

ブラウザ完結で外部通信なし — 機密ヘッダー情報を安全に解析、内部情報漏洩を防止
セキュリティヘッダー 7 種の自動チェック、各欠落に対する具体的な設定例を提示
Cache-Control の 8 つのディレクティブを個別に解説、キャッシュ戦略を最適化
Set-Cookie の HttpOnly・Secure・SameSite を検証、XSS・CSRF・盗聴攻撃をブロック
CORS ワイルドカード（*）と credentials の矛盾を警告、認証情報漏洩を防止
X-Powered-By などの情報漏洩ヘッダーを自動検出、削除推奨を明示
0-100 スコアで一目でセキュリティ状態を把握、OWASP ガイドラインに準拠
Fully browser-based with no external communication — analyze sensitive headers safely and prevent information leaks
Automatically checks 7 critical security headers with specific configuration examples for each missing header
Explains 8 Cache-Control directives individually to optimize caching strategy
Validates Set-Cookie flags (HttpOnly, Secure, SameSite) to block XSS, CSRF, and eavesdropping attacks
Warns of dangerous CORS combinations (Allow-Origin: * with credentials), preventing auth token leaks
Auto-detects information-leak headers (X-Powered-By), recommending immediate removal
Understand security posture at a glance with 0-100 score, compliant with OWASP guidelines