Analisis header keamanan gratis – tanpa pendaftaran

Pemeriksa Header HTTP

Nilai header respons HTTP dari URL mana pun. Kami memeriksa HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, isolasi lintas-asal (COOP/COEP/CORP), dan atribut cookie, lalu menjelaskan cara memperbaiki yang kurang.

https://

Apa yang dilakukan pemeriksa header HTTP ini

Masukkan URL publik mana pun, lalu kami mengambilnya di sisi server dan membaca header respons HTTP mentah — instruksi tak terlihat yang dikirim server bersama setiap halaman. Kami menganalisis header yang relevan dengan keamanan, menilai masing-masing berdasarkan praktik terbaik terkini, dan menghasilkan penilaian A hingga F dengan penjelasan singkat serta rekomendasi konkret untuk setiap temuan.

Tidak seperti pemeriksaan sederhana yang bertanya “apakah header-nya ada?”, alat ini membaca ke dalam setiap header: ia menganalisis direktif CSP Anda, nilai max-age pada HSTS, atribut cookie Anda, dan Permissions-Policy Anda, serta mendeteksi kontradiksi, seperti X-Frame-Options usang di samping frame-ancestors modern.

Apa yang diperiksa

  • Transport: HTTPS dan kekuatan Strict-Transport-Security (HSTS).
  • Keamanan konten: kualitas Content-Security-Policy, perlindungan terhadap clickjacking (frame-ancestors / X-Frame-Options), dan X-Content-Type-Options.
  • Isolasi lintas-asal: COOP, COEP, dan CORP.
  • Privasi & kebijakan: Referrer-Policy dan Permissions-Policy.
  • Cookie: atribut Secure, HttpOnly, dan SameSite pada setiap Set-Cookie.
  • Pengungkapan informasi: kebocoran versi pada Server dan X-Powered-By.

Cara kerja penilaian

Setiap header diberi bobot menurut tingkat kepentingannya dan menyumbang nilai parsial dari 0 hingga 1 (lulus / sebagian / gagal). Skor akhir adalah rata-rata tertimbang dari semua pemeriksaan yang berlaku, dibulatkan, lalu dipetakan ke huruf: A mulai 90, B mulai 80, C mulai 70, D mulai 60, dan F di bawah 60. Pemeriksaan konsistensi (seperti X-Frame-Options yang berlebihan) ditampilkan sebagai informasi, tetapi tidak memengaruhi skor.

Pertanyaan yang sering diajukan

Apakah alat ini mengubah sesuatu di situs saya?

Tidak. Kami mengirim satu permintaan baca-saja dan menganalisis header respons. Tidak ada yang diubah, dan kami tidak pernah menjalankan pengujian aktif seperti permintaan lintas-asal palsu.

Mengapa CSP saya hanya mendapat peringatan?

Content-Security-Policy dinilai dari kualitasnya, bukan sekadar keberadaannya. Sumber seperti 'unsafe-inline' atau 'unsafe-eval' di script-src, atau wildcard *, melemahkan kebijakan dan hanya mendapat nilai parsial. Gunakan nonce atau hash untuk skrip inline agar mencapai nilai penuh.

Apakah Anda memeriksa konfigurasi TLS atau sertifikat?

Tidak di sini: alat ini berfokus pada header respons. Cipher suite dan rantai sertifikat adalah topik tersendiri; gunakan penganalisis TLS khusus untuk itu.

Apakah laporannya disimpan dalam cache?

Ya, selama satu jam per URL — lebih singkat daripada alat kami yang lain, karena header keamanan sering berubah selama perbaikan. Hasil dari cache ditandai dalam laporan.