HTTPヘッダー解析 | リクエスト・レスポンスヘッダーを確認

エンコードブラウザ内で処理(アップロードなし)

curl、ブラウザ DevTools、CDN ログ、API クライアントからコピーした HTTP リクエスト/レスポンスヘッダーを、正規化された読みやすい一覧に変換します。重複ヘッダー、キャッシュ、CORS、セキュリティ、コンテンツ関連ヘッダーをブラウザ内で確認できます。

次に行うこと

関連する作業フローを続けるか、この作業の次によく使うツールを開きます。

このツールの使い方

DevTools、curl、CDN ログ、API クライアントから取得した生の HTTP ヘッダーを入力欄に貼り付けます。

開始行、正規化されたヘッダー一覧、スキップされた行の警告を確認します。

Accept、Set-Cookie、Cache-Control など、同じ名前のヘッダーが重複していないかを見ます。

キャッシュ、セキュリティ、CORS、コンテンツのグループ表示で、調査したい領域を絞り込みます。

正規化された結果をコピーまたはダウンロードして、バグ報告、運用メモ、レビュー用の記録に使います。

このツールを使う場面

キャッシュのデバッグ

cache-control、etag、expires、vary、age を確認し、古い API レスポンスや CDN キャッシュが残る原因を切り分けます。

CORS トラブルシューティング

ブラウザでフロントエンドの通信が失敗する前に、Access-Control-Allow-Origin や Access-Control-Allow-Headers が期待通り返っているかを確認します。

セキュリティヘッダーの確認

HSTS、CSP、X-Frame-Options、X-Content-Type-Options、Referrer-Policy などの有無を、リリース前チェックや設定レビューのメモとして整理します。

API デバッグメモの作成

DevTools や curl からコピーしたヘッダーを正規化し、バグ報告、チケット、問い合わせ返信に貼り付けやすい形にします。

よくあるミス

レスポンス本文だけを貼り付ける

ヘッダー分析には HTML や JSON 本文ではなく、ステータス行とヘッダーブロックが必要です。DevTools の Network パネルや curl の `-i` 出力からレスポンスヘッダーをコピーしてください。

重複ヘッダーを無視する

Set-Cookie、Accept、Cache-Control などは複数回出ることがあります。プロキシやアプリケーションの設定ミスと判断する前に、同じ名前のヘッダーが何回出ているかを確認しましょう。

リクエストヘッダーとレスポンスヘッダーを混同する

リクエストヘッダーはブラウザやクライアントが送った値、レスポンスヘッダーはサーバーや CDN が返した値です。キャッシュ、CORS、セキュリティの調査では混ぜずに扱う必要があります。

CORS の調査でレスポンスヘッダーを見ない

CORS エラーは JavaScript の例外だけを見ても原因が分かりにくいことがあります。Access-Control-Allow-Origin、Access-Control-Allow-Headers、Vary などのレスポンスヘッダーを先に確認してください。

レスポンスヘッダーを確認する

API や CDN レスポンスのキャッシュ設定とセキュリティヘッダーを一緒に確認します。

入力
HTTP/1.1 200 OK
content-type: application/json
cache-control: public, max-age=3600
strict-transport-security: max-age=31536000; includeSubDomains
出力
開始行: HTTP/1.1 200 OK
ヘッダー合計: 3
キャッシュヘッダー: cache-control
セキュリティヘッダー: strict-transport-security

重複したリクエストヘッダーを見つける

DevTools や curl からコピーしたリクエストヘッダーで、同じ名前の値が重複していないかを確認します。

入力
GET /api/users HTTP/1.1
Host: api.example.com
Accept: application/json
Accept: text/plain
出力
開始行: GET /api/users HTTP/1.1
重複ヘッダー名: 1
正規化ヘッダー:
host: api.example.com
accept: application/json
accept: text/plain

CORS プリフライトの結果を整理する

フロントエンドからのリクエストがブラウザで止まるとき、CORS 関連ヘッダーが返っているかを確認します。

入力
HTTP/2 204
access-control-allow-origin: https://app.example.com
access-control-allow-methods: GET, POST, OPTIONS
vary: Origin
出力
CORSヘッダー: access-control-allow-origin, access-control-allow-methods
キャッシュヘッダー: vary
警告: なし

HTTPヘッダー解析の仕組み

パーサーは最初に HTTP リクエスト行またはレスポンスステータス行を認識し、その後の `名前: 値` 形式の行をヘッダーとして読み取ります。

ヘッダー名は大文字小文字を区別せずに小文字へ正規化します。元の値は保持するため、引用符、複数値、Cookie などを後から確認できます。

同じ名前のヘッダーが複数回出た場合は上書きせず、重複ヘッダーとして件数を表示します。Set-Cookie や Accept の調査で特に役立ちます。

空白で始まる継続行は前のヘッダー値へ折り込みます。コロンがない行や空のヘッダー名は警告に回し、解析できる行の処理は継続します。

cache-control、etag、strict-transport-security、content-security-policy、access-control-allow-origin、content-type などの代表的な名前を、キャッシュ、セキュリティ、CORS、コンテンツのグループに分類します。

よくある質問

レスポンスヘッダー全体を貼り付けられますか?

はい。DevTools、curl、CDN ログ、API クライアントからコピーしたステータス行とヘッダーブロックをそのまま貼り付けられます。開始行を保持したまま、下のヘッダーを小文字名で正規化します。

ヘッダーの内容はサーバーに送信されますか?

いいえ。解析はブラウザ内で完結します。このツールは URL を取得したり、貼り付けたヘッダーをサーバーへ送信したり、検査内容を保存したりしません。

セキュリティヘッダーも確認できますか?

キャッシュ、CORS、コンテンツ、リクエスト、レスポンス、セキュリティ関連の代表的なヘッダーをグループ表示します。ただし完全なセキュリティ監査ではなく、調査の出発点として使うための表示です。

壊れたヘッダーブロックでも使えますか?

はい。コロンがない行やヘッダー名が空の行は警告として表示し、解析できる行はそのまま処理します。ログから余計な行が混ざった場合でも、問題のある行を見つけやすくなります。

関連作業ガイド

ツールを開く前に、よくある作業フローと例を確認できます。

関連ツール

他の開発者ツールも確認できます

すべてのツールを見る