Inspecteur d'en-têtes HTTP
Inspectez les en-têtes de réponse et la politique de sécurité de toute URL. Vérifiez HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy plus Server, Content-Type, Cache-Control en un clic.
Saisissez une URL publique. Notre serveur la récupère une fois et renvoie les en-têtes de réponse — sans corps, sans exécution JavaScript.
Que regarder
Les sites modernes utilisent les en-têtes de réponse pour durcir le navigateur contre les attaques. Strict-Transport-Security force HTTPS. Content-Security-Policy limite quels scripts et iframes peuvent charger. X-Frame-Options arrête le clickjacking. Server et X-Powered-By dévoilent les versions logicielles — beaucoup de sites les retirent. Le code de statut, les redirections et l'URL finale révèlent aussi beaucoup sur la configuration.
Cas d'usage courants
- 1Auditer la sécurité d'un site — voyez d'un coup d'œil HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
- 2Déboguer une chaîne de redirections — collez un lien de campagne ou un raccourci et observez chaque saut 301/302 jusqu'à la page finale.
- 3Confirmer la config cache et CDN — Cache-Control, ETag, Age, CF-Cache-Status disent si l'asset vient de l'origine, du edge ou d'un stale revalidate.
Questions fréquentes
Quel est un bon score de sécurité ?+
Un site moderne devrait au moins avoir HSTS, CSP, X-Frame-Options ou frame-ancestors, X-Content-Type-Options: nosniff et un Referrer-Policy. Permissions-Policy se généralise.
Mon site n'a aucun de ces headers — c'est grave ?+
C'est une opportunité manquée. Commencez par HSTS, puis Referrer-Policy strict, puis CSP — la défense la plus forte mais la plus longue à planifier.
Pourquoi le Server header est masqué ?+
Les sites matures suppriment Server et X-Powered-By pour rendre les exploits versionnés plus difficiles. Cloudflare remplace par "cloudflare" ou supprime.