セキュリティヘッダーチェッカー | Toolypet
無料オンラインセキュリティヘッダーチェッカー。HTTPセキュリティヘッダーを分析し改善点を確認。MCP対応。
これは何ですか?
セキュリティヘッダーチェッカーは、HTTPレスポンスヘッダーのセキュリティ設定を分析・評価するツールです。欠落しているセキュリティヘッダーを特定し、推奨される設定値を提案します。
入力
プレビュー
分析するセキュリティヘッダーを入力してください
使い方
HTTPレスポンスヘッダーを入力してください。ツールが推奨されるセキュリティヘッダーの有無を確認し、各ヘッダーの評価と改善提案を表示します。
詳細解説
HTTPセキュリティヘッダーは、一般的なウェブ攻撃を防止するための防御レイヤーです。
重要なヘッダー:
- Strict-Transport-Security (HSTS): HTTPS接続の強制
- Content-Security-Policy (CSP): リソース読み込み制限
- X-Content-Type-Options: MIMEタイプスニッフィングの防止
- X-Frame-Options: クリックジャッキングの防止
- X-XSS-Protection: レガシーXSSフィルター
- Referrer-Policy: リファラー情報の制御
- Permissions-Policy: ブラウザ機能の制限
推奨設定:
- HSTS: max-age=31536000; includeSubDomains; preload
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY(またはSAMEORIGIN)
- Referrer-Policy: strict-origin-when-cross-origin
グレーディング:
- A+: すべてのセキュリティヘッダーが適切に設定
- A-F: ヘッダーの欠落や不適切な設定に応じて降格
例
- ウェブサイトのHTTPセキュリティヘッダーを監査
- 欠落しているセキュリティヘッダーを特定
- セキュリティヘッダーの設定グレードを取得
- CSPヘッダーが存在し、スクリプトソースを適切に制限していることを確認
- サーバー設定変更前後のセキュリティヘッダー適用範囲を比較
Toolypet MCPサーバーのインストール
1つのコマンドでAIエージェントにToolypetツールを追加できます。Claude Desktop、Claude Code、Cursor、およびすべてのMCP互換クライアントで使用可能です。
クイックスタート
npx -y @toolypet/mcp-server@latest
MCPクライアント設定
{
"mcpServers": {
"toolypet": {
"command": "npx",
"args": [
"-y",
"@toolypet/mcp-server@latest"
]
}
}
}ツール名:
mcp__toolypet__security_header_checkerプロンプト例
Check security headers: X-Frame-Options DENY, Strict-Transport-Security max-age=31536000
入力例
{
"headers": {
"X-Frame-Options": "DENY",
"Strict-Transport-Security": "max-age=31536000; includeSubDomains",
"X-Content-Type-Options": "nosniff"
}
}出力例
{
"score": 75,
"grade": "B",
"present": [
"X-Frame-Options",
"Strict-Transport-Security",
"X-Content-Type-Options"
],
"missing": [
"Content-Security-Policy",
"Referrer-Policy",
"Permissions-Policy"
],
"recommendations": [
"Add Content-Security-Policy header",
"Add Referrer-Policy header"
]
}よくある質問
- 最も重要なセキュリティヘッダーは?
- HSTS(HTTPS強制)、CSP(リソース制限)、X-Content-Type-Options(MIMEスニッフィング防止)の3つが最も重要です。
- X-XSS-Protectionはまだ必要?
- モダンブラウザではCSPが優先されるため、X-XSS-Protectionの重要性は低下しています。CSPが設定されていない場合のフォールバックとして設定してください。
- HSTSのpreloadとは?
- ブラウザにHSTSプリロードリストへの登録を要求するオプションです。リストに含まれると、初回アクセスからHTTPS接続が強制されます。
- すべてのヘッダーを設定する必要がある?
- すべてが必須ではありませんが、基本的なヘッダー(HSTS、CSP、X-Content-Type-Options)は設定を強く推奨します。
- Claude/Cursorでこのツールを使用するにはどうすればいいですか?
- MCPを通じてこのツールを使用できます。AIエージェントの設定に 'npx -y @toolypet/mcp-server@latest' でToolypet MCPサーバーを追加してください。その後、AIに mcp__toolypet__security_header_checker をパラメータ付きで使用するよう指示してください。
- MCPとは何ですか?なぜToolypetはMCPをサポートしているのですか?
- MCP(Model Context Protocol)は、ClaudeやCursorなどのAIエージェントが外部ツールを使用できるようにするオープン標準です。ToolypetはMCPをサポートしているため、65以上のすべてのツールをブラウザとAIエージェントの両方で使用でき、計算や操作をAIワークフローにシームレスに統合できます。
- MCPとは何ですか?ToolypetがMCPをサポートする理由は?
- MCP(Model Context Protocol)は、ClaudeやCursorなどのAIエージェントが外部ツールを利用できるオープンスタンダードです。ToolypetはMCPをサポートしているため、65以上のすべてのツールをブラウザとAIエージェントの両方で使用でき、計算や操作をAIワークフローにシームレスに統合できます。