ZeroTool Workbench

HTTP Header アナライザー

HTTPリクエストまたはレスポンスの生ヘッダーを貼り付け、セキュリティ・キャッシュ・CORS・コンテンツ・認証メタデータを即座に解析。100+ヘッダー解説と合規ヒント。完全ブラウザ完結。

100% クライアントサイド データはブラウザ外に出ません 無料 · 登録不要

関連ツール

Cookie 文字列パーサー Cookieヘッダー文字列を名前/値ペアの表に解析。HttpOnly・Secure・SameSite・Path・Domain・Expires・Max-Ageなどのフラグを識別。URLデコード切替・JSON出力対応。完全ブラウザ完結。 CSP ヘッダージェネレーター ディレクティブ・ホスト・hash・nonce から Content-Security-Policy ヘッダーを構築。strict モードと report-only テンプレート、Express / Nginx スニペットに対応。完全ブラウザ完結。 HAR ファイル アナライザー ブラウザ DevTools の HAR ファイルをドロップし、リクエストウォーターフォール、ステータスコード、ヘッダー、Cookie、ボトルネックを可視化。完全ブラウザ完結、アップロード不要。 HTTP ステータスコード 全HTTPステータスコード(1xx〜5xx)の説明・ユースケース付き検索リファレンス。 JWT デコーダー JWTのヘッダー・ペイロード・署名を解析・表示。有効期限ハイライト付き。 HMAC ジェネレーター SHA-256・SHA-384・SHA-512でHMAC署名を生成。Hex/Base64出力対応。ブラウザ完結。

使い方

  1. 生のHTTPヘッダーをテキストエリアに貼り付けます。最初の行にステータス行またはメソッド行を含めてください。
  2. 分析をクリック。ツールがリクエスト/レスポンスを自動判別し、カテゴリ別にグルーピングして表示します。
  3. カテゴリ別生データJSONタブで表示を切り替えます。
  4. セキュリティヘッダーのインラインヒントを確認 — 設定ミスは警告、強化機会は注意として表示されます。
  5. JSONコピーで解析結果をエクスポートし、後続の自動化処理に利用できます。

例: セキュリティヘッダー付きレスポンス

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Content-Security-Policy: default-src 'self'; script-src 'self'
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Cache-Control: no-store
Set-Cookie: session=abc123; HttpOnly; Secure; SameSite=Strict; Path=/

アナライザーはStrict-Transport-Security、Content-Security-Policy、X-Content-Type-Options、Referrer-Policyをセキュリティに分類します。Cache-Controlはキャッシュ、Content-Typeはコンテンツ、Set-CookieはCookieに入ります。各カードには一行解説とヒント(例: HttpOnlyなしのSet-Cookieは警告表示)が付きます。

例: CORSプリフライト

OPTIONS /api/v1/orders HTTP/1.1
Host: api.example.com
Origin: https://app.example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Authorization, Content-Type

これはリクエストとして認識されます。Access-Control-Request-*ペアはプリフライトの印。アナライザーはOriginを強調し、要求メソッドとヘッダーをリスト化します。レスポンス側と組み合わせれば、CORSハンドシェイクを端から端まで追跡できます。

カテゴリ一覧

  • ステータス — 最初の行(ステータス行またはメソッド行)。
  • セキュリティ — HSTS、CSP、X-Frame-Options、COOP/COEP/CORP、Permissions-Policy、Fetch metadata。
  • キャッシュ — Cache-Control、ETag、Vary、Expires、Last-Modified、条件付きリクエストヘッダー。
  • コンテンツ — Content-Type、Content-Encoding、Accept-*、Content-Disposition。
  • CORS — Access-Control-*とOrigin。
  • 認証 — Authorization、WWW-Authenticate、Proxy-Authenticate。
  • Cookie — CookieとSet-Cookie。
  • 転送 / レンジ / プロキシ / 一般 / カスタム — その他のカテゴリ。X-*未知ヘッダーはカスタムに入ります。

合規ヒントの基準

ヒントは保守的で、明らかな設定ミスのみを指摘し、主観的なスタイル評価はしません。例:

  • HSTS max-ageが1年未満、またはincludeSubDomains / preload不足。
  • CSPに’unsafe-inline’または’unsafe-eval’が含まれる。
  • Set-CookieにHttpOnlyまたはSecureが欠落。
  • Access-Control-Allow-Credentials: trueとワイルドカードOriginの組み合わせ(仕様違反)。
  • Cache-Controlにno-storeとmax-ageが共存(max-age実質無効)。

関連ツール

FAQ

ヘッダーがサーバーに送信されますか?

いいえ。解析と分析はすべてブラウザ内のインラインJavaScriptで完結し、アップロードはありません。Authorizationトークン、Set-Cookie文字列、本番ヘッダーなどの機密情報も安心して貼り付けられます。

URLから直接ヘッダーを取得できますか?

設計上できません。URLフェッチにはバックエンドが必要で、悪用されるリスクもあります。curl -I、fetch -v、ブラウザDevToolsのネットワークパネル、その他HTTPクライアントからヘッダーをコピーして貼り付けてください。本ツールは解析のみを担当します。

リクエストとレスポンスの判別方法は?

最初の行を読みます。HTTP/x.x のあとにステータスコードが続けばレスポンス、メソッド(GET、POSTなど)+パス+HTTP/x.xならリクエストです。どちらにも一致しない場合はヘッダーのみとして全行をヘッダーとして解析します。

どのセキュリティヘッダーをチェックしますか?

Strict-Transport-Security、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、Set-Cookieフラグ、Cross-Origin-*ファミリー、CORSのAllow-Origin / Allow-Credentials組み合わせなどの存在と構成を検証します。

重複ヘッダーや折りたたみ行の扱いは?

同名の重複ヘッダーはカテゴリビューで個別エントリとして保持され、JSONビューでは配列にまとめられます(順序保持)。HTTP/1.1のobs-fold(空白で始まる行)はRFC 7230に従って前のヘッダーに結合されます。

解析結果をエクスポートできますか?

はい。JSONコピーで正規化されたオブジェクトをコピーできます。単一値ヘッダーは文字列、重複ヘッダーは順序を保持した配列になります。ステータス行は_statusキーに収録されます。