Gratis analyse van beveiligingsheaders – geen registratie

HTTP Header-checker

Beoordeel de HTTP-responsheaders van elke URL. We controleren HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, cross-origin-isolatie (COOP/COEP/CORP) en cookie-attributen, en leggen uit hoe je ontbrekende zaken oplost.

https://

Wat deze HTTP-headerchecker doet

Voer een willekeurige openbare URL in: we halen die aan de serverzijde op en lezen de ruwe HTTP-responsheaders — de onzichtbare instructies die een server bij elke pagina meestuurt. We analyseren de beveiligingsrelevante headers, beoordelen elke header aan de hand van de huidige best practices en geven een beoordeling van A tot F met een korte uitleg en een concrete aanbeveling voor elke bevinding.

Anders dan een eenvoudige controle in de trant van „is de header aanwezig?”, leest deze tool in elke header: hij analyseert je CSP-richtlijnen, de max-age-waarde van HSTS, je cookie-attributen en je Permissions-Policy, en detecteert tegenstrijdigheden, zoals een verouderde X-Frame-Options naast een moderne frame-ancestors.

Wat wordt gecontroleerd

  • Transport: HTTPS en de sterkte van Strict-Transport-Security (HSTS).
  • Inhoudsbeveiliging: kwaliteit van de Content-Security-Policy, bescherming tegen clickjacking (frame-ancestors / X-Frame-Options) en X-Content-Type-Options.
  • Cross-origin-isolatie: COOP, COEP en CORP.
  • Privacy en beleid: Referrer-Policy en Permissions-Policy.
  • Cookies: de attributen Secure, HttpOnly en SameSite op elke Set-Cookie.
  • Informatielekken: versie-onthulling in Server en X-Powered-By.

Hoe de score werkt

Elke header wordt gewogen op basis van het belang en draagt een deelscore van 0 tot 1 bij (geslaagd / gedeeltelijk / mislukt). De eindscore is het gewogen gemiddelde van alle toepasselijke controles, afgerond en omgezet naar een cijfer: A vanaf 90, B vanaf 80, C vanaf 70, D vanaf 60 en F onder 60. Consistentiecontroles (zoals een overbodige X-Frame-Options) worden ter informatie getoond, maar hebben geen invloed op de score.

Veelgestelde vragen

Verandert deze tool iets aan mijn website?

Nee. We sturen één alleen-lezen verzoek en analyseren de responsheaders. Er wordt niets gewijzigd, en we voeren nooit actieve tests uit zoals vervalste cross-origin-verzoeken.

Waarom kreeg mijn CSP slechts een waarschuwing?

Een Content-Security-Policy wordt beoordeeld op kwaliteit, niet alleen op aanwezigheid. Bronnen zoals 'unsafe-inline' of 'unsafe-eval' in script-src, of een jokerteken *, verzwakken het beleid en leveren slechts een gedeeltelijke score op. Gebruik nonces of hashes voor inline scripts om de volledige score te halen.

Controleren jullie de TLS- of certificaatconfiguratie?

Hier niet: deze tool richt zich op de responsheaders. Cipher suites en certificaatketens zijn een apart onderwerp; gebruik daarvoor een speciale TLS-analyzer.

Wordt het rapport gecachet?

Ja, één uur per URL — korter dan bij onze andere tools, omdat beveiligingsheaders vaak veranderen tijdens het oplossen. Resultaten uit de cache worden in het rapport aangegeven.