レスポンス本文だけを貼り付ける
ヘッダー分析には HTML や JSON 本文ではなく、ステータス行とヘッダーブロックが必要です。DevTools の Network パネルや curl の `-i` 出力からレスポンスヘッダーをコピーしてください。
curl、ブラウザ DevTools、CDN ログ、API クライアントからコピーした HTTP リクエスト/レスポンスヘッダーを、正規化された読みやすい一覧に変換します。重複ヘッダー、キャッシュ、CORS、セキュリティ、コンテンツ関連ヘッダーをブラウザ内で確認できます。
関連する作業フローを続けるか、この作業の次によく使うツールを開きます。
API レスポンスを共有・検証する前に、JSON の構造、空値、機密フィールド、型の違いを安全に確認する手順です。
開く関連ツールBase64 を UTF-8 対応でエンコード/デコード。Base64URL の確認にも使えます。すべてブラウザ内で処理します。
開く関連ツールMD5、SHA-1、SHA-256、SHA-512 のチェックサムをローカルで生成します。
開く関連ツール行/列のエラー表示付きで JSON を整形・検証・圧縮。ローカル処理で安全。
開くDevTools、curl、CDN ログ、API クライアントから取得した生の HTTP ヘッダーを入力欄に貼り付けます。
開始行、正規化されたヘッダー一覧、スキップされた行の警告を確認します。
Accept、Set-Cookie、Cache-Control など、同じ名前のヘッダーが重複していないかを見ます。
キャッシュ、セキュリティ、CORS、コンテンツのグループ表示で、調査したい領域を絞り込みます。
正規化された結果をコピーまたはダウンロードして、バグ報告、運用メモ、レビュー用の記録に使います。
cache-control、etag、expires、vary、age を確認し、古い API レスポンスや CDN キャッシュが残る原因を切り分けます。
ブラウザでフロントエンドの通信が失敗する前に、Access-Control-Allow-Origin や Access-Control-Allow-Headers が期待通り返っているかを確認します。
HSTS、CSP、X-Frame-Options、X-Content-Type-Options、Referrer-Policy などの有無を、リリース前チェックや設定レビューのメモとして整理します。
DevTools や curl からコピーしたヘッダーを正規化し、バグ報告、チケット、問い合わせ返信に貼り付けやすい形にします。
ヘッダー分析には HTML や JSON 本文ではなく、ステータス行とヘッダーブロックが必要です。DevTools の Network パネルや curl の `-i` 出力からレスポンスヘッダーをコピーしてください。
Set-Cookie、Accept、Cache-Control などは複数回出ることがあります。プロキシやアプリケーションの設定ミスと判断する前に、同じ名前のヘッダーが何回出ているかを確認しましょう。
リクエストヘッダーはブラウザやクライアントが送った値、レスポンスヘッダーはサーバーや CDN が返した値です。キャッシュ、CORS、セキュリティの調査では混ぜずに扱う必要があります。
CORS エラーは JavaScript の例外だけを見ても原因が分かりにくいことがあります。Access-Control-Allow-Origin、Access-Control-Allow-Headers、Vary などのレスポンスヘッダーを先に確認してください。
API や CDN レスポンスのキャッシュ設定とセキュリティヘッダーを一緒に確認します。
HTTP/1.1 200 OK
content-type: application/json
cache-control: public, max-age=3600
strict-transport-security: max-age=31536000; includeSubDomains開始行: HTTP/1.1 200 OK
ヘッダー合計: 3
キャッシュヘッダー: cache-control
セキュリティヘッダー: strict-transport-securityDevTools や curl からコピーしたリクエストヘッダーで、同じ名前の値が重複していないかを確認します。
GET /api/users HTTP/1.1
Host: api.example.com
Accept: application/json
Accept: text/plain開始行: GET /api/users HTTP/1.1
重複ヘッダー名: 1
正規化ヘッダー:
host: api.example.com
accept: application/json
accept: text/plainフロントエンドからのリクエストがブラウザで止まるとき、CORS 関連ヘッダーが返っているかを確認します。
HTTP/2 204
access-control-allow-origin: https://app.example.com
access-control-allow-methods: GET, POST, OPTIONS
vary: OriginCORSヘッダー: access-control-allow-origin, access-control-allow-methods
キャッシュヘッダー: vary
警告: なしパーサーは最初に HTTP リクエスト行またはレスポンスステータス行を認識し、その後の `名前: 値` 形式の行をヘッダーとして読み取ります。
ヘッダー名は大文字小文字を区別せずに小文字へ正規化します。元の値は保持するため、引用符、複数値、Cookie などを後から確認できます。
同じ名前のヘッダーが複数回出た場合は上書きせず、重複ヘッダーとして件数を表示します。Set-Cookie や Accept の調査で特に役立ちます。
空白で始まる継続行は前のヘッダー値へ折り込みます。コロンがない行や空のヘッダー名は警告に回し、解析できる行の処理は継続します。
cache-control、etag、strict-transport-security、content-security-policy、access-control-allow-origin、content-type などの代表的な名前を、キャッシュ、セキュリティ、CORS、コンテンツのグループに分類します。
はい。DevTools、curl、CDN ログ、API クライアントからコピーしたステータス行とヘッダーブロックをそのまま貼り付けられます。開始行を保持したまま、下のヘッダーを小文字名で正規化します。
いいえ。解析はブラウザ内で完結します。このツールは URL を取得したり、貼り付けたヘッダーをサーバーへ送信したり、検査内容を保存したりしません。
キャッシュ、CORS、コンテンツ、リクエスト、レスポンス、セキュリティ関連の代表的なヘッダーをグループ表示します。ただし完全なセキュリティ監査ではなく、調査の出発点として使うための表示です。
はい。コロンがない行やヘッダー名が空の行は警告として表示し、解析できる行はそのまま処理します。ログから余計な行が混ざった場合でも、問題のある行を見つけやすくなります。
ツールを開く前に、よくある作業フローと例を確認できます。
他の開発者ツールも確認できます
Base64 を UTF-8 対応でエンコード/デコード。Base64URL の確認にも使えます。すべてブラウザ内で処理します。
MD5、SHA-1、SHA-256、SHA-512 のチェックサムをローカルで生成します。
行/列のエラー表示付きで JSON を整形・検証・圧縮。ローカル処理で安全。
JWT をローカルでデコードして claims と期限を確認。署名検証は行いません。
URL をエンコード/デコードして、クエリ文字列や API パラメータを安全に扱えます。