概要
Security Headers は、HTTP セキュリティヘッダーの評価を行うツールです。
URL を入力するだけで、セキュリティに関する HTTP ヘッダーがあるか、またその値は何かを把握できます。
自身のサイトの HTTP セキュリティヘッダーを確認する時、他のサイトの HTTP セキュリティヘッダーを参考にしたい時に便利です。
ツールの制作者は、イギリス在住のセキュリティ研究者 Scott Helme さんです。
説明
URL の入力後は、そのサイトの HTTP セキュリティヘッダーの評価が A+ から F として表示されます。
セキュリティが十分な A+ や A の評価の場合は、緑色で表示されます。
B や C の評価の場合は、黄色で表示されます。
セキュリティの評価が低い場合は、赤色で表示されます。
また、設定されていない HTTP ヘッダーがある場合は、Missing Headers に一覧で表示されます。各項目には Scott Helme さんが書かれた詳細な説明ページへのリンクがあります。例えば、Content-Security-Policy を設定していない場合は、Content Security Policy - An Introduction へのリンクがあります。
HTTP ヘッダーに注意すべき値が設定されている場合は、Warnings にて指摘されます。
Content-Security-Policy の style-src に 'unsafe-inline' が含まれていると指摘しています。尚、Scott Helme さんは、Report URI の創設者でもあります。Content Security Policy の違反レポートなどセキュリティに関するレポートが必要な場合に利用すると便利です。監視対象が 3 サイト、1 か月あたり 10,000 件のレポートまで無料で利用できます。