セキュリティヘッダーアナライザー
CSP、HSTS、およびコア セキュリティ ヘッダーに関して、サイトを A+ から F にグレード付けします。すぐに貼り付けられる修正が含まれます。
Raw response headers
このアナライザーは、任意の URL をフェッチし、securityheaders.com と同じ方法で HTTP セキュリティ ヘッダーを評価します。ただし、欠落しているヘッダーごとに実行可能なコピー&ペーストの nginx 修正が行われます。 Technology Profiler と組み合わせて、サイトのスタックと状況の全体像を取得します。
よくある質問
HTTPセキュリティヘッダーとは何ですか?
セキュリティ ヘッダーは、Web サーバーがすべての応答とともに送信する指示で、ブラウザーに防御的な動作を指示します。Content-Security-Policy はスクリプトのロード元を制限し、Strict-Transport-Security は HTTPS を強制し、X-Frame-Options はクリックジャッキングをブロックします。これは、サイトが実行できる最も安価で効果の高い強化手順の 1 つです。
A+ から F までのグレードはどのように計算されますか?
グレードは、6 つのコア ヘッダー (CSP、HSTS、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy) のうちのいくつが存在するかをカウントします。 6 人全員が A を獲得します。 A+ にはさらに、少なくとも 1 つのクロスオリジン分離ヘッダー (COOP/CORP/COEP) が必要であり、CSP に unsafe-inline のような弱体化フラグは必要ありません。
セキュリティヘッダーが欠落していると SEO に悪影響を及ぼしますか?
直接的なものではありません — Google はセキュリティ ヘッダーによってランク付けを行っていません。ただし、HSTS は Google が測定する HTTPS エクスペリエンスを保護するため、強化されたサイトはハッキングやブラックリストに登録される可能性が低くなり、ランキングが完全に破壊されます。ヘッダーを SEO 投資の保険として扱います。
不足しているヘッダーを追加するにはどうすればよいですか?
レポート内の欠落しているヘッダーには、すぐに貼り付けられる nginx 修正スニペットが含まれています。 Apache では、Header always set ディレクティブを .htaccess で使用します。 WordPress で nginx を使用している場合は、サーバー ブロックにスニペットを追加してリロードします。 X-Content-Type-Options と HSTS (最もリスクが低い) から始めて、最初にレポート専用モードで CSP をテストします。
情報開示とは何ですか?なぜフラグが立てられるのでしょうか?
Server: nginx/1.24.0 や X-Powered-By: PHP/8.3 などのヘッダーによって正確なソフトウェア バージョンが明らかになり、攻撃者はバージョン固有のエクスプロイトを調べることができます。レポートではそれらにフラグが付けられるため、それらを削除または汎用化できます。