تدقيق مجاني لترويسات الأمان - دون تسجيل

فاحص ترويسات HTTP

قيّم ترويسات استجابة HTTP لأي رابط. نقيّم HSTS وContent-Security-Policy وX-Content-Type-Options وReferrer-Policy وPermissions-Policy وعزل المصادر المتقاطعة (COOP/COEP/CORP) وأعلام ملفات تعريف الارتباط - ثم نوضّح كيفية إصلاح ما ينقص.

https://

ماذا يفعل فاحص ترويسات HTTP هذا

أدخل أي رابط عام، فنجلبه من جهة الخادم ونقرأ ترويسات استجابة HTTP الخام - وهي التعليمات غير المرئية التي يرسلها الخادم مع كل صفحة. نحلّل المتعلّقة منها بالأمان، ونقيّم كلًّا منها وفق أفضل الممارسات الحالية، ونعيد بطاقة تقييم من A إلى F مع شرح موجز وحلّ ملموس لكل ملحوظة.

وخلافًا لفحص بسيط من نوع "هل الترويسة موجودة؟"، تقرأ هذه الأداة داخل كل ترويسة: فتحلّل توجيهات CSP، وقيمة max-age الخاصة بـHSTS، وأعلام ملفات تعريف الارتباط، وPermissions-Policy، وتبرز التناقضات مثل وجود X-Frame-Options مهجور بجانب frame-ancestors حديث.

ما الذي يُفحَص

  • النقل: HTTPS وقوة Strict-Transport-Security (HSTS).
  • أمان المحتوى: جودة Content-Security-Policy، والحماية من سرقة النقرات (frame-ancestors / X-Frame-Options)، وX-Content-Type-Options.
  • عزل المصادر المتقاطعة: COOP وCOEP وCORP.
  • الخصوصية والسياسات: Referrer-Policy وPermissions-Policy.
  • ملفات تعريف الارتباط: أعلام Secure وHttpOnly وSameSite في كل Set-Cookie.
  • كشف المعلومات: تسرّب إصدار Server وX-Powered-By.

كيف تُحتسب النتيجة

تُوزَن كل ترويسة بحسب أهميتها وتُسهم بقيمة جزئية من 0 إلى 1 (ناجح / جزئي / فاشل). والنتيجة النهائية هي المتوسط المرجَّح عبر كل فحص منطبق، مقرَّبًا، ثم يُحوَّل إلى تقدير حرفي: A من 90 فأعلى، وB من 80 فأعلى، وC من 70 فأعلى، وD من 60 فأعلى، وF أقل من 60. وتُعرَض فحوصات الاتساق (مثل وجود X-Frame-Options زائد عن الحاجة) للسياق لكنها لا تغيّر النتيجة أبدًا.

الأسئلة المتكررة

هل يغيّر هذا أي شيء في موقعي؟

لا. نرسل طلبًا واحدًا للقراءة فقط ونحلّل ترويسات الاستجابة. ولا يُعدَّل أي شيء، ولا نجري أبدًا فحوصات نشطة مثل طلبات المصادر المتقاطعة المزوَّرة.

لماذا حصل CSP الخاص بي على تحذير فقط؟

يُقيَّم Content-Security-Policy وفق الجودة، لا مجرد الوجود. فمصادر مثل 'unsafe-inline' أو 'unsafe-eval' في script-src، أو حرف البدل *، تُضعف السياسة وتحصل على درجة جزئية. استخدم nonces أو hashes للنصوص البرمجية المضمَّنة للوصول إلى نجاح كامل.

هل تفحصون إعدادات TLS / الشهادات؟

ليس هنا - تركّز هذه الأداة على ترويسات الاستجابة. أما مجموعات التشفير وسلاسل الشهادات فهي شأن منفصل؛ استخدم محلّل TLS مخصّصًا لها.

هل يُخزَّن التقرير مؤقتًا؟

نعم، لمدة ساعة واحدة لكل رابط - أقصر من أدواتنا الأخرى، لأن ترويسات الأمان كثيرًا ما تتغيّر أثناء إصلاحك لها فعليًا. وتُوسَم نتائج التخزين المؤقت في النتيجة.