Проверка заголовков безопасности
Укажите URL своего сайта, чтобы оценить его HTTP-заголовки безопасности (CSP, HSTS, X-Frame-Options, …), с исправлениями для недостающих и готовым набором для копирования.
Сервер этого сайта один раз запрашивает целевой URL и оценивает только заголовки ответа (тело не сохраняется). Доступ к внутренним / приватным адресам заблокирован.
Как пользоваться
- 1
Укажите URL сайта, которым вы управляете.
- 2
Основные заголовки безопасности оцениваются на наличие и надёжность.
- 3
Усильте «отсутствующие» / «слабые» пункты, используя показанные исправления и рекомендуемый набор.
Почему это важно
Заголовки безопасности — дешёвый и эффективный уровень защиты. CSP ограничивает влияние XSS, HSTS закрепляет трафик за HTTPS, X-Frame-Options блокирует кликджекинг — каждый из них занимает несколько строк конфигурации сервера. Начните со строгих настроек и ослабляйте только при необходимости.
Частые вопросы
QМожно ли проверять чужой сайт?
A
Инструмент один раз запрашивает URL и читает заголовки ответа — без активного сканирования или атак (тот же объём, что и при открытии в браузере). Он предназначен для проверки вашего собственного сайта.
QОпасно ли всё, что ниже A?
A
Нет. Некоторые заголовки нужны не каждому сайту. Важные — это CSP, HSTS, X-Frame-Options и X-Content-Type-Options; если они на месте, вы в хорошей форме.