فاحص رؤوس HTTP
افحص ترويسات الاستجابة وسياسة الأمان لأي URL. تحقق من HSTS و Content-Security-Policy و X-Frame-Options و X-Content-Type-Options و Referrer-Policy إضافة إلى Server و Content-Type و Cache-Control بنقرة واحدة.
أدخل عنوان URL عامًا. يقوم خادمنا بجلبه مرة واحدة ويعيد رؤوس الاستجابة — بدون متن وبدون تنفيذ JavaScript.
ما يجب البحث عنه
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
حالات الاستخدام الشائعة
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2تتبع سلسلة عمليات إعادة التوجيه — الصق رابط حملة أو رابطاً مختصراً وشاهد كل قفزة 301/302 حتى الصفحة النهائية، إضافة إلى الرابط النهائي الذي يحمّله المتصفح فعلاً.
- 3تأكد من إعداد الكاش و CDN — Cache-Control و ETag و Age و CF-Cache-Status تكشف ما إذا كانت أصولك تُقدَّم من المصدر أو الكاش الطرفي أو إعادة تحقق متأخرة.
الأسئلة الشائعة
What's a good security header score?+
يجب على الموقع الحديث أن يُرسل على الأقل HSTS و CSP و X-Frame-Options أو frame-ancestors داخل CSP و X-Content-Type-Options: nosniff وسياسة Referrer-Policy. كما تزداد توقعات Permissions-Policy.
موقعي لا يحتوي على أي من هذه الرؤوس — هل هذا سيئ؟+
إنها فرصة ضائعة، وليست حالة طوارئ دائماً. أضف HSTS أولاً لتثبيت الموقع على HTTPS، ثم Referrer-Policy صارمة. CSP هي أقوى دفاع لكنها تحتاج أكبر قدر من التخطيط.
لماذا يُخفى رأس Server في بعض المواقع؟+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.