Security headers はなぜ必要ですか？

ブラウザにリソース読み込み、フレーム埋め込み、HTTPS、権限、referrer 情報の扱いを伝えます。サーバーコードが安全でも、ヘッダーがないとクリックジャッキング、MIME 推測、referrer 露出などのリスクが残る場合があります。

strict CSP をすぐ適用できますか？

まず staging で確認することをおすすめします。strict CSP は inline style、外部スクリプト、広告、解析ツール、フォントの読み込みを止める場合があるため、重要ページが壊れないか確認してください。

HSTS preload はいつ有効にしますか？

すべてのサブドメインが HTTPS で安定して動き、長期的に戻す予定がない場合だけ有効にするのが安全です。preload はブラウザ一覧に反映される可能性があり、誤った設定の復旧が面倒になる場合があります。

入力した設定はアップロードされますか？

いいえ。Security headers の生成はブラウザ内だけで実行されます。選択したヘッダー、report URI、生成したサーバー設定は berryfy に送信または保存されません。

Security headers 生成ツール

CSP、HSTS、X-Frame-Options、Referrer-Policy などの Web セキュリティヘッダーを選び、nginx、Apache、Cloudflare 形式でコピーできます。

Security headers 設定

サイトに適用するセキュリティヘッダーとサーバー設定形式を選びます。

Preset出力形式

含めるヘッダー

Content-Security-Policy信頼した出元のリソースだけ読み込むよう制限Strict-Transport-Securityブラウザに HTTPS を優先させるX-Frame-Options他ページへの埋め込みを制限X-Content-Type-OptionsMIME タイプ推測を防ぐReferrer-Policy他サイトへ送る referrer 情報を制限Permissions-Policyカメラ、マイク、位置情報、決済権限を初期状態で制限Cross-origin policiesCOOP と CORP を same-origin に設定

Frame optionReferrer policy

HSTS max-age秒単位です。31536000 は 1 年、63072000 は 2 年です。CSP report URI空欄なら report-uri を追加しません。/csp-report または https URL を使えます。

includeSubDomainsサブドメインにも HSTS を適用preloadブラウザ preload 一覧への提出を準備

生成結果

通常ヘッダー形式、ヘッダー 6 件

Content-Security-Policy: default-src 'self'; base-uri 'self'; object-src 'none'; frame-ancestors 'self'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; upgrade-insecure-requests
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Content-Security-PolicyStrict-Transport-SecurityX-Frame-OptionsX-Content-Type-OptionsReferrer-PolicyPermissions-Policy

基本的なセキュリティヘッダー構成です。本番前にサイト機能を確認してください。

公開前に基本のセキュリティヘッダーを整理する

Web セキュリティヘッダーは、ブラウザがページをより安全に扱うための設定です。CSP はスクリプトやリソースの読み込み元を制限し、HSTS は HTTPS の利用を促し、Referrer-Policy と Permissions-Policy は不要な情報や権限の露出を減らします。

このツールは選択したヘッダーを通常の header 形式、nginx、Apache、Cloudflare _headers 形式に変換します。balanced preset は既存サイトに適用しやすい値から始め、strict preset は本番前の検証が必要な強い制限を示します。

セキュリティヘッダーはサイト機能に影響する場合があります。本番前に staging 環境でログイン、決済、画像、フォント、外部スクリプトを確認してください。生成はブラウザ内だけで実行され、設定値は berryfy に送信されません。

今の作業に続けて使いやすいツールをまとめました。

開発者パスワード生成ツール安全なランダムパスワードを端末内で作成してワンクリックでコピー開く開発者UUID生成ツールブラウザでランダムなUUID v4を作成し、まとめてコピー開く開発者ULID生成ツール並べ替えやすいULIDをブラウザ内で生成し、timestampをデコードしてアップロードなしで確認開く