Toolypet
セキュリティツール/セキュリティヘッダー

セキュリティヘッダー

ウェブサーバー用HTTPセキュリティヘッダーを生成

プリセット

セキュリティヘッダー

Forces HTTPS connections for secure communication

Prevents clickjacking attacks by controlling iframe embedding

Prevents MIME type sniffing attacks

Legacy XSS filter (deprecated, use CSP instead)

Controls how much referrer information is sent

Controls browser features and APIs

Prevents loading cross-origin resources without permission

Isolates browsing context from cross-origin documents

Protects resources from being loaded by other origins

生成された出力

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

5個のヘッダーが有効

実装メモ

これらのヘッダーをWebサーバー設定に追加してください。Nginxの場合はserverブロックに、Apacheの場合は.htaccessまたはhttpd.confに追加します。本番環境にデプロイする前に十分にテストしてください。

セキュリティヘッダーガイド

HTTPセキュリティヘッダーでWebアプリケーションを保護する方法を学ぶ

セキュリティヘッダーとは?

HTTPセキュリティヘッダーは、WebサーバーがブラウザにAttending送信するディレクティブで、一般的なWeb脆弱性から保護します。ブラウザがサイトのコンテンツを処理する方法を制御し、XSS、クリックジャッキング、データインジェクション攻撃を防ぎます。

使用方法

  1. セキュリティ要件に基づいてプリセット(基本、推奨、厳格)を選択
  2. 個々のヘッダーのオン/オフを切り替え、値をカスタマイズ
  3. 出力形式(Raw、Nginx、Apache)を選択
  4. 生成された設定をコピーしてWebサーバーに追加

ベストプラクティス

よくある質問

最も重要なヘッダーはどれですか?

必須ヘッダーは、HTTPSを強制するStrict-Transport-Security(HSTS)、MIMEスニッフィングを防ぐX-Content-Type-Options、クリックジャッキングを防ぐX-Frame-OptionsまたはCSP frame-ancestorsです。これらの3つは互換性の問題を最小限に抑えながら一般的な攻撃に対する大きな保護を提供します。

これらのヘッダーはウェブサイトを壊しますか?

HSTS、X-Content-Type-Options、Referrer-Policyなどのほとんどのヘッダーは安全で機能を損なうことはありません。ただし、厳格なCOOP/COEP設定はクロスオリジンリソースに影響を与える可能性があります。特にサイトがサードパーティスクリプト、iframe、またはクロスオリジンAPIを使用している場合は、必ずステージング環境で最初にテストしてください。

X-Frame-OptionsとCSP frame-ancestorsの違いは?

どちらもクリックジャッキングを防ぎますが、CSP frame-ancestorsの方が柔軟で現代的です。X-Frame-OptionsはDENYまたはSAMEORIGINのみをサポートしますが、frame-ancestorsは特定のドメインを許可できます。両方が設定されている場合、CSP frame-ancestorsが優先されます。特定のサイトにコンテンツの埋め込みを許可する必要がある場合はframe-ancestorsを使用してください。

HSTS preloadを使用すべきですか?

HSTS preloadはドメインをブラウザの組み込みHTTPS専用リストに追加します。最大の保護を提供しますが、元に戻すのが難しいです。preloadを有効にする前に:すべてのサブドメインがHTTPSをサポートしていることを確認し、HTTPSに永続的にコミットし、短いmax-ageから始めてください。確信がある場合にのみpreloadディレクティブを追加してください。

COOP、COEP、CORPヘッダーとは?

これらは高度なセキュリティのための分離ヘッダーです。COOP(Cross-Origin-Opener-Policy)はクロスオリジンポップアップからウィンドウを分離します。COEP(Cross-Origin-Embedder-Policy)はすべてのリソースが明示的に共有されることを保証します。CORP(Cross-Origin-Resource-Policy)は誰がリソースをロードできるかを制御します。一緒に使用するとSharedArrayBufferなどの強力な機能が有効になりますが、すべてのリソースのオプトインが必要です。

関連ツール

すべてのセキュリティツールを見る

CSP Builder

Build Content-Security-Policy headers

Password Generator

Generate secure passwords

SHA Hash Generator

Generate SHA hashes