Ücretsiz güvenlik başlığı analizi – kayıt gerekmez

HTTP Başlık Denetleyici

Herhangi bir URL'nin HTTP yanıt başlıklarını değerlendirin. HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, kaynaklar arası yalıtım (COOP/COEP/CORP) ve çerez özniteliklerini kontrol ediyor, ardından eksik olanları nasıl düzelteceğinizi açıklıyoruz.

https://

Bu HTTP başlık denetleyici ne yapar

Herhangi bir genel URL girin; biz onu sunucu tarafında alır ve ham HTTP yanıt başlıklarını okuruz — bir sunucunun her sayfayla birlikte gönderdiği görünmez talimatları. Güvenlikle ilgili olanları ayrıştırır, her birini güncel en iyi uygulamalara göre değerlendirir ve her bulgu için kısa bir açıklama ve somut bir öneriyle birlikte A'dan F'ye bir değerlendirme döndürürüz.

"Başlık var mı?" şeklindeki basit bir kontrolün aksine, bu araç her başlığın içine bakar: CSP yönergelerinizi, HSTS'nin max-age değerini, çerez özniteliklerinizi ve Permissions-Policy'nizi ayrıştırır ve modern bir frame-ancestors ile yan yana duran eski bir X-Frame-Options gibi çelişkileri tespit eder.

Neler kontrol edilir

  • Taşıma: HTTPS ve Strict-Transport-Security (HSTS) gücü.
  • İçerik güvenliği: Content-Security-Policy kalitesi, clickjacking koruması (frame-ancestors / X-Frame-Options) ve X-Content-Type-Options.
  • Kaynaklar arası yalıtım: COOP, COEP ve CORP.
  • Gizlilik ve ilkeler: Referrer-Policy ve Permissions-Policy.
  • Çerezler: her Set-Cookie üzerindeki Secure, HttpOnly ve SameSite öznitelikleri.
  • Bilgi ifşası: Server ve X-Powered-By'de sürüm sızıntısı.

Puanlama nasıl çalışır

Her başlık önemine göre ağırlıklandırılır ve 0 ile 1 arasında kısmi bir puana katkıda bulunur (geçti / kısmi / başarısız). Nihai puan, geçerli tüm kontrollerin ağırlıklı ortalamasıdır; yuvarlanır ve bir harf notuna dönüştürülür: A 90 ve üzeri, B 80 ve üzeri, C 70 ve üzeri, D 60 ve üzeri, F 60'ın altı. Tutarlılık kontrolleri (gereksiz bir X-Frame-Options gibi) bilgi amacıyla gösterilir ancak puanı etkilemez.

Sıkça sorulan sorular

Bu araç sitemde bir şey değiştirir mi?

Hayır. Yalnızca okuma amaçlı tek bir istek gönderir ve yanıt başlıklarını analiz ederiz. Hiçbir şey değiştirilmez ve sahte kaynaklar arası istekler gibi etkin testler asla yapmayız.

CSP'm neden yalnızca bir uyarı aldı?

Content-Security-Policy yalnızca varlığıyla değil, kalitesiyle değerlendirilir. script-src içindeki 'unsafe-inline' veya 'unsafe-eval' ya da bir joker karakter * gibi kaynaklar ilkeyi zayıflatır ve yalnızca kısmi puan alır. Tam puana ulaşmak için satır içi betiklerde nonce veya hash kullanın.

TLS veya sertifika yapılandırmasını kontrol ediyor musunuz?

Burada değil: bu araç yanıt başlıklarına odaklanır. Şifre paketleri ve sertifika zincirleri ayrı bir konudur; bunun için özel bir TLS çözümleyici kullanın.

Rapor önbelleğe alınıyor mu?

Evet, URL başına bir saat — diğer araçlarımızdan daha kısa, çünkü güvenlik başlıkları düzeltmeler sırasında sık sık değişir. Önbellekten gelen sonuçlar raporda belirtilir.