HTTP ヘッダーの追加
このテキストはAIを使用して翻訳されました。英語の原文を表示するには、こちらをクリックしてください。
このガイドでは、WordPress.com ウェブサイトにHTTPヘッダーを追加して、さまざまなリクエストとレスポンスを処理する方法を説明します。
HTTPヘッダーについて
HTTPヘッダーは、ウェブサイト上のHTTPリクエストやレスポンスとともに追加情報を渡します。HTTPヘッダーは、ヘッダーコードの発信元であるソース、サービス、またはソーシャルネットワークに応じて、特定のリクエストの処理方法や情報の収集方法をサイトに指示します。
ほとんどのHTTPヘッダーはWordPress.comで最適化されており、変更する必要はありませんが、必要に応じてウェブサイトに適用または変更することもできます。一部のHTTPヘッダーコードは、セキュリティ上の脅威がある場合やWordPress.comプラットフォームの他の機能と競合する場合、WordPress.comでは変更できないことにご注意ください。
一般的なHTTPヘッダーの一覧
以下は、サイトに適用できる一般的なHTTPヘッダーの一覧表です。WordPress.comで変更できないHTTPヘッダーについての注記も含まれています。さまざまなHTTPヘッダーについてMDNでさらに詳しく学ぶこともできます。
| ヘッダー | 説明 |
|---|---|
| X-Robots-Tag | ウェブページが公開検索エンジンの結果内でどのようにインデックスされるかを示します。このHTTPヘッダーは、実質的に<meta name="robots" content="...">と同等です。 |
| Access-Control-Allow-Headers | プリフライトリクエストへのレスポンスで使用され、実際のリクエスト中に使用できるHTTPヘッダーを示すAccess-Control-Request-Headersを含みます。 |
| Access-Control-Allow-Methods | プリフライトリクエストへのレスポンスで、リソースへのアクセス時に許可される1つ以上のメソッドを指定します。 |
| Access-Control-Allow-Credentials | リクエストの資格情報モード(Request.credentials)がincludeの場合に、レスポンスをフロントエンドのJavaScriptコードに公開するかどうかをブラウザに通知します。 |
| Access-Control-Allow-Origin | 指定されたオリジンからのリクエストコードとレスポンスを共有できるかどうかを示します。 |
| Access-Control-Expose-Headers | クロスオリジンリクエストへのレスポンスで、ブラウザで実行されるスクリプトに対してどのレスポンスヘッダーを利用可能にするかをサーバーが示すことを可能にします。 |
| X-Frame-Options | ブラウザが<frame>、<iframe>、<embed>、または<object>内でページをレンダリングすることを許可するかどうかを示します。サイトはこれを使用して、コンテンツが他のサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます。 |
| X-XSS-Protection | Internet Explorer、Chrome、Safariの機能で、反射型クロスサイトスクリプティング(XSS)攻撃を検出した場合にページの読み込みを停止します。これらの保護は、インラインJavaScript(’unsafe-inline’)の使用を無効にする強力なContent-Security-Policyを実装している最新のブラウザでは、ほとんど不要です。 |
| X-Content-Type-Options | Content-Typeヘッダーで通知されたMIMEタイプに従い、変更すべきでないことを示します。このHTTPヘッダーにより、MIMEタイプが意図的に設定されていることを宣言して、MIMEタイプスニッフィングを回避できます。 |
| Strict-Transport-Security | サイトにはHTTPSのみを使用してアクセスすべきであり、HTTPを使用した今後のアクセス試行は自動的にHTTPSに変換されるべきであることをブラウザに通知します。 注意: includeSubdomainsおよびpreloadディレクティブを追加するには、サポートにお問い合わせください。 |
| Referrer-Policy | リクエストに含めるリファラー情報(Refererヘッダーで送信される)の量を制御します。HTTPヘッダー以外にも、HTMLでこのポリシーを設定できます。 |
| Content-Security-Policy | ウェブサイト管理者が、特定のページに対してユーザーエージェントが読み込めるリソースを制御できるようにします。いくつかの例外を除き、ポリシーは主にサーバーオリジンとスクリプトエンドポイントの指定に関するものです。これにより、クロスサイトスクリプティング攻撃を防ぐことができます。 これはRedirectionのようなプラグインや custom-redirects.phpを使用して変更できます。 |
ウェブサイトにHTTPヘッダーを追加する
サイトに HTTP レスポンスヘッダーを追加するには、2つの方法があります。
リダイレクトプラグインで HTTP ヘッダーを追加する
プラグイン対応のウェブサイトに HTTP ヘッダーを追加する方法はいくつかありますが、最もおすすめなのは Redirection プラグインを使用する方法です。
Redirection プラグインという名前からリダイレクト専用のプラグインのように思えますが、リダイレクトを一切使用せずに HTTP ヘッダーを適用するためだけに安全に使用できます。HTTP ヘッダーの適用のみを選択した場合、ページがリダイレクトの影響を受けることはありません。
Redirection プラグインをインストールした後、以下の手順で HTTP ヘッダーを追加できます。
- ツール → Redirection に移動して、プラグインの設定画面を開きます。
- 「サイト」タブをクリックします。
- 画面の下部にある「HTTP ヘッダー」セクションまでスクロールします。ここに、サイトの各 HTTP ヘッダーの行が表示されたテーブルがあります。
- 「ヘッダーを追加」ボタンをクリックして、テーブルに新しい HTTP ヘッダーの行を追加します。
- 以下の情報を選択します。
- 場所: この HTTP ヘッダーをどこに適用しますか?ほとんどの HTTP ヘッダーでは、
siteが適切なオプションです。 - ヘッダー: このオプションをクリックすると、一般的な HTTP ヘッダーのドロップダウンが表示されます。
- 使用したいオプションが表示されていない場合は、カスタムヘッダーを追加することもできます。カスタム HTTP ヘッダーとその値を入力するための新しいボックスが開きます。
- ドロップダウンにオプションが表示されていても、上記で説明した通り、WordPress.com プラットフォームでは使用できない場合があります。
- 値: 指定した HTTP ヘッダーで利用可能なオプションが表示されます。ただし、カスタムヘッダーの場合は、入力用の空白フィールドとして表示されることがあります。
- 場所: この HTTP ヘッダーをどこに適用しますか?ほとんどの HTTP ヘッダーでは、
- 「更新」ボタンをクリックすると、HTTP ヘッダーがウェブサイトのリクエストとレスポンスに追加されます。
HTTP ヘッダーの変更がライブサイトに反映されるまで、しばらく時間がかかる場合があります。変更は時間の経過とともに自動的に更新されますが、ブラウザーのキャッシュをクリアしたり、ウェブサイトのキャッシュをクリアしたりすることも検討してください。
PHP コードで HTTP ヘッダーを追加する
より高度な方法をお探しの場合や、プラグインの使用を避けたい場合は、PHP の header() 関数を使用して custom-redirects.php ファイルで HTTP ヘッダーを設定することもできます。このファイルは SFTP を使用してサイトのルートフォルダーに追加できます。
SFTP を使用した変更は、高度なサイトカスタマイズとみなされます。変更内容を正確に把握している場合にのみファイルを編集してください。また、SFTP の使用に慣れている場合にのみ、この方法を使用することをおすすめします。
SFTPを使用してサイトファイルにHTTPヘッダーを追加する方法の概要は以下のとおりです。
- お好みのSFTPクライアントを使用して、WordPressサイトに接続します。
- デフォルトではルートフォルダーに移動します。WordPress.comサイトの場合、
htdocsフォルダー(ルート)にいることを確認してください。そのフォルダー内に、custom-redirects.phpという新しいファイルを作成します。 - お使いのデバイスのテキストエディター(TextEditやメモ帳など)を使用して、必要に応じてファイルを編集します。
- ファイルをサーバーに保存します。
有効なcustom-redirects.phpファイルの例を以下に示します。
<?php
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: SAMEORIGIN');
header('Referrer-Policy: no-referrer-when-downgrade');最終更新日: 6月 19, 2026