Bezpłatna analiza nagłówków bezpieczeństwa – bez rejestracji

Sprawdzanie Nagłówków HTTP

Oceń nagłówki odpowiedzi HTTP dowolnego adresu URL. Sprawdzamy HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, izolację międzyźródłową (COOP/COEP/CORP) oraz atrybuty ciasteczek, a następnie wyjaśniamy, jak naprawić to, czego brakuje.

https://

Co robi to narzędzie do sprawdzania nagłówków HTTP

Wprowadź dowolny publiczny adres URL — pobierzemy go po stronie serwera i odczytamy surowe nagłówki odpowiedzi HTTP, czyli niewidoczne instrukcje, które serwer wysyła wraz z każdą stroną. Analizujemy te istotne dla bezpieczeństwa, oceniamy każdy według aktualnych najlepszych praktyk i zwracamy ocenę od A do F z krótkim wyjaśnieniem i konkretnym zaleceniem dla każdej pozycji.

W przeciwieństwie do prostego sprawdzenia w stylu „czy nagłówek istnieje?”, to narzędzie zagląda do wnętrza każdego nagłówka: analizuje Twoje dyrektywy CSP, wartość max-age w HSTS, atrybuty Twoich ciasteczek i Twoją Permissions-Policy oraz wykrywa sprzeczności, takie jak przestarzały X-Frame-Options obok nowoczesnego frame-ancestors.

Co jest sprawdzane

  • Transport: HTTPS i siła Strict-Transport-Security (HSTS).
  • Bezpieczeństwo treści: jakość Content-Security-Policy, ochrona przed clickjackingiem (frame-ancestors / X-Frame-Options) oraz X-Content-Type-Options.
  • Izolacja międzyźródłowa: COOP, COEP i CORP.
  • Prywatność i zasady: Referrer-Policy i Permissions-Policy.
  • Ciasteczka: atrybuty Secure, HttpOnly i SameSite w każdym Set-Cookie.
  • Ujawnianie informacji: widoczność wersji w nagłówkach Server i X-Powered-By.

Jak działa ocena

Każdy nagłówek jest ważony według istotności i wnosi wynik częściowy od 0 do 1 (zaliczony / częściowy / niezaliczony). Wynik końcowy to średnia ważona wszystkich obowiązujących sprawdzeń, zaokrąglona i przeliczona na ocenę: A od 90, B od 80, C od 70, D od 60 i F poniżej 60. Sprawdzenia spójności (takie jak zbędny X-Frame-Options) są pokazywane informacyjnie, ale nie wpływają na wynik.

Często zadawane pytania

Czy to narzędzie zmienia coś na mojej stronie?

Nie. Wysyłamy jedno żądanie tylko do odczytu i analizujemy nagłówki odpowiedzi. Nic nie jest modyfikowane i nigdy nie wykonujemy aktywnych testów, takich jak sfałszowane żądania międzyźródłowe.

Dlaczego moja CSP otrzymała tylko ostrzeżenie?

Content-Security-Policy jest oceniana pod kątem jakości, a nie tylko obecności. Źródła takie jak 'unsafe-inline' lub 'unsafe-eval' w script-src albo symbol wieloznaczny * osłabiają zasady i otrzymują tylko częściową ocenę. Użyj wartości nonce lub skrótów (hash) dla skryptów wbudowanych, aby uzyskać pełną ocenę.

Czy sprawdzacie konfigurację TLS lub certyfikatów?

Nie tutaj — to narzędzie skupia się na nagłówkach odpowiedzi. Zestawy szyfrów i łańcuchy certyfikatów to osobny temat; użyj do tego dedykowanego analizatora TLS.

Czy raport jest zapisywany w pamięci podręcznej?

Tak, przez godzinę na adres URL — krócej niż w naszych innych narzędziach, ponieważ nagłówki bezpieczeństwa często zmieniają się podczas poprawek. Wyniki z pamięci podręcznej są oznaczone w raporcie.