Troubleshoot
セキュリティヘッダが何も設定されていない
最終更新: 2026-04-25
症状
Mozilla Observatory 等で F 評価 / ヘッダがほぼ無い
- HSTS / CSP / X-Frame-Options / Referrer-Policy / Permissions-Policy が未設定
想定される原因
- 1
初期状態のまま
新規プロジェクトでまだ設定していない。
- 2
CDN だけで返している
オリジンに設定がなく、CDN を変えた瞬間消える。
対処手順
- Caddyfile / Nginx 側で common ヘッダ(HSTS / X-Content-Type-Options / X-Frame-Options / Referrer-Policy)を設定
- /tools/csp-generator で CSP を report-only から追加
- /check で A ランクを目指す