セキュリティヘッダー
URL を取得し、HSTS、CSP、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy などの HTTP セキュリティヘッダーを評価します。欠けているヘッダーや弱い設定をおすすめ付きで示します。
よくある質問
- どのヘッダーが最も重要ですか?
- HSTS は HTTPS を強制し、Content-Security-Policy は XSS をブロックし、X-Frame-Options はクリックジャッキングをブロックし、X-Content-Type-Options は MIME スニッフィングをブロックします。これらのいずれかが欠けていると、一般的な脆弱性になります。
- 私のフレームワークはこれらを自動的に設定しますか?
- 通常はいいえ。 Express、Django、および Rails には明示的な構成が必要です。ヘルメット (Node)、django-secure、またはラック保護を使用します。 Cloudflare と Vercel では、ワンクリックで切り替えが可能です。
- 厳密なヘッダーによってサイトが破損する可能性がありますか?
- はい。過度に厳格な CSP は、インライン スクリプトとサードパーティ分析をブロックします。最初にレポート専用モードでテストし、違反を修正してから強制します。