Infra Ops Hub
Troubleshoot

セキュリティヘッダが何も設定されていない

最終更新: 2026-04-25

症状

Mozilla Observatory 等で F 評価 / ヘッダがほぼ無い

  • HSTS / CSP / X-Frame-Options / Referrer-Policy / Permissions-Policy が未設定

想定される原因

  1. 1

    初期状態のまま

    新規プロジェクトでまだ設定していない。

  2. 2

    CDN だけで返している

    オリジンに設定がなく、CDN を変えた瞬間消える。

対処手順

  1. Caddyfile / Nginx 側で common ヘッダ(HSTS / X-Content-Type-Options / X-Frame-Options / Referrer-Policy)を設定
  2. /tools/csp-generator で CSP を report-only から追加
  3. /check で A ランクを目指す

関連ページ

まず確認すること

  • /tools/security-headers で 6 項目を診断
  • オリジン側で curl -I で返っているか
Technical SEO

この Issue への推奨アクション: Site Health Check を実行

Technical SEO

このテーマの関連ページ