Analisi gratuita delle intestazioni di sicurezza – senza registrazione

Verifica Intestazioni HTTP

Valuta le intestazioni di risposta HTTP di qualsiasi URL. Analizziamo HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, l'isolamento cross-origin (COOP/COEP/CORP) e gli attributi dei cookie, e ti spieghiamo come correggere ciò che manca.

https://

Cosa fa questo strumento di verifica delle intestazioni HTTP

Inserisci qualsiasi URL pubblico: lo recuperiamo lato server e leggiamo le intestazioni di risposta HTTP grezze, ovvero le istruzioni invisibili che un server invia insieme a ogni pagina. Analizziamo quelle rilevanti per la sicurezza, valutiamo ciascuna in base alle migliori pratiche attuali e restituiamo una valutazione da A a F con una breve spiegazione e un consiglio concreto per ogni rilievo.

A differenza di un semplice controllo del tipo «l'intestazione è presente?», questo strumento legge all'interno di ogni intestazione: analizza le tue direttive CSP, il valore max-age di HSTS, gli attributi dei tuoi cookie e la tua Permissions-Policy, e rileva le contraddizioni, come un X-Frame-Options obsoleto accanto a un frame-ancestors moderno.

Cosa viene verificato

  • Trasporto: HTTPS e robustezza di Strict-Transport-Security (HSTS).
  • Sicurezza dei contenuti: qualità della Content-Security-Policy, protezione dal clickjacking (frame-ancestors / X-Frame-Options) e X-Content-Type-Options.
  • Isolamento cross-origin: COOP, COEP e CORP.
  • Privacy e criteri: Referrer-Policy e Permissions-Policy.
  • Cookie: gli attributi Secure, HttpOnly e SameSite su ogni Set-Cookie.
  • Divulgazione di informazioni: esposizione delle versioni in Server e X-Powered-By.

Come funziona il punteggio

Ogni intestazione è ponderata in base alla sua importanza e contribuisce con un valore parziale da 0 a 1 (superato / parziale / non superato). Il punteggio finale è la media ponderata di tutti i controlli applicabili, arrotondata e convertita in un voto: A da 90, B da 80, C da 70, D da 60 e F sotto 60. I controlli di coerenza (come un X-Frame-Options ridondante) sono mostrati a titolo informativo, ma non influiscono sul punteggio.

Domande frequenti

Questo strumento modifica qualcosa sul mio sito?

No. Inviamo una sola richiesta di sola lettura e analizziamo le intestazioni di risposta. Non viene modificato nulla e non eseguiamo mai test attivi come richieste cross-origin contraffatte.

Perché la mia CSP ha ricevuto solo un avviso?

Una Content-Security-Policy viene valutata in base alla qualità, non solo alla presenza. Origini come 'unsafe-inline' o 'unsafe-eval' in script-src, oppure un carattere jolly *, indeboliscono i criteri e ottengono solo un punteggio parziale. Usa nonce o hash per gli script inline per raggiungere il punteggio pieno.

Verificate la configurazione di TLS o dei certificati?

Non qui: questo strumento si concentra sulle intestazioni di risposta. Le suite di cifratura e le catene di certificati sono un argomento a parte; per questo usa un analizzatore TLS dedicato.

Il report viene memorizzato nella cache?

Sì, per un'ora per URL — meno rispetto agli altri nostri strumenti, perché le intestazioni di sicurezza cambiano spesso durante le correzioni. I risultati serviti dalla cache sono indicati nel report.