HTTPヘッダーチェッカーとは?
HTTPヘッダーチェッカーは、任意のURLにリクエストを送信し、サーバーが返すHTTPレスポンスヘッダーを分析するツールです。コンテンツタイプ、キャッシュルール、サーバーソフトウェア、HSTS、CSP、X-Frame-Optionsなどのセキュリティヘッダーを確認できます。
DNS RobotのHTTPヘッダーチェックはセキュリティヘッダーをA-Fでグレーディングし、具体的な改善提案を提供します。SSL証明書チェックと組み合わせて包括的なセキュリティ分析を行ってください。

重要なセキュリティヘッダー
ウェブセキュリティに最も重要なHTTPセキュリティヘッダーは以下の通りです。
Strict-Transport-Security。ブラウザにHTTPS接続のみを強制。SSLストリッピング攻撃を防止。
Content-Security-Policy。XSS攻撃を防止するリソース読み込み制御。最も重要なヘッダー。
クリックジャッキング攻撃を防止。DENY、SAMEORIGIN、ALLOW-FROMの値を設定。
MIMEスニッフィングを防止。値はnosniff。
セキュリティグレードの基準
当社のセキュリティヘッダーグレーディングは6つの重要なヘッダーを加重スコアリングで評価します。
グレードA(90-100)— 優秀。すべての主要ヘッダーが設定済み
グレードB(75-89)— 良好。軽微な改善余地あり
グレードC(60-74)— 中程度。改善が必要
グレードD(40-59)— 弱い。複数のヘッダーが未設定
グレードF(0-39)— 不十分。早急な対応が必要
セキュリティヘッダーの追加方法
セキュリティヘッダーはウェブサーバーの設定、アプリケーションフレームワーク、CDN設定で追加できます。
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"関連ネットワーク・セキュリティツール
HTTPヘッダーチェックに関連する他のDNS Robotツールもご活用ください。