HTTP ヘッダー解析ツール/ レスポンスヘッダー解説
HTTP レスポンスヘッダーを貼り付けて、カテゴリ別に各フィールドの意味を解説します。
このツールは役に立ちましたか?
よくある質問
ウェブサイトの HTTP レスポンスヘッダーを取得するには?
Chrome/Firefox で開発者ツール(F12)を開き → Network タブ → 任意のリクエストをクリック → Headers タブ → Response Headers セクションをコピーします。curl を使う場合は curl -I https://example.com でヘッダーのみ表示できます。
Cache-Control: max-age=3600 はどういう意味ですか?
ブラウザおよび中間キャッシュに、レスポンスを最大 3600 秒(1 時間)保存するよう指示します。その後は新しいリクエストが必要です。ETag や Last-Modified と組み合わせると、キャッシュされたバージョンがまだ有効かサーバーに検証できます。
HSTS とは何ですか?なぜ有効にすべきですか?
HSTS(HTTP Strict Transport Security)は Strict-Transport-Security ヘッダーを通じて、指定期間中はブラウザが HTTPS のみでサイトに接続するよう指示します。SSL ストリッピング攻撃を防止します。ブラウザがこのヘッダーを受け取ると、そのドメインへの HTTP 接続を拒否します。
API が CORS エラーを返すのはなぜですか?
CORS エラーは、サーバーのレスポンスに適切な Access-Control-Allow-Origin ヘッダーが含まれていないため、ブラウザがクロスオリジンリクエストをブロックした場合に発生します。サーバーはリクエスト元のオリジンを明示的に許可するか、* を使用してすべてのオリジンを許可する必要があります。
ETag と Last-Modified の違いは何ですか?
どちらもキャッシュ検証メカニズムです。ETag は不透明なトークン(通常はコンテンツのハッシュ)で、より正確です。Last-Modified はリソースの最終更新日で、シンプルですが精度が低いです(サブ秒の変更を見逃す可能性があります)。ブラウザはこれらを使って条件付きリクエスト(If-None-Match / If-Modified-Since)を送信し、コンテンツが変更されていなければ 304 Not Modified を受け取ります。
X-Content-Type-Options: nosniff は何をしますか?
ブラウザによる MIME スニッフィング(サーバーが宣言した Content-Type と異なるタイプの推測)を防止します。このヘッダーがないと、text/plain で配信された JavaScript ファイルをブラウザがスクリプトとして実行する可能性があります。コンテンツインジェクション攻撃を防ぐために常に設定してください。