HTTPセキュリティヘッダー
ウェブサイトが送信するセキュリティヘッダーを解析します。
HTTPセキュリティヘッダーは、クリックジャッキング、XSS、コンテンツスニッフィングなどの攻撃からユーザーを保護する方法をブラウザに伝えます。このツールはサイトを取得し、どのセキュリティヘッダーが存在するかを確認して、その値とスコアを表示します。
セキュリティヘッダー FAQ
HSTS(Strict-Transport-Security)は、ブラウザに常にHTTPSであなたのドメインへ接続するよう強制し、接続をHTTPにダウングレードしようとする攻撃を防ぎます。最も重要なセキュリティヘッダーの一つです。
CSPは、サイトがどのオリジンからリソース(スクリプト、スタイル、画像…)を読み込めるかを定義します。適切に設定すれば、認可されていないコードの実行をブロックするため、XSS攻撃に対する最も強力な防御となります。
あなたのサイトが別のサイトのiframe内に読み込まれるのを防ぎ、クリックジャッキング(見えないものをクリックさせる手口)から保護します。今日ではCSPのframe-ancestorsディレクティブでも実現できます。
いいえ。それらは多層防御の重要な一層ですが、実際のセキュリティはコード、認証、依存関係、サーバー設定にも依存します。このツールはレスポンスヘッダーのみを評価します。