Inspektur Header HTTP
Periksa header respons dan kebijakan keamanan URL apa pun. Periksa HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy plus Server, Content-Type, Cache-Control dalam satu klik.
Masukkan URL publik. Server kami mengambilnya sekali dan mengembalikan header respons β tanpa body, tanpa eksekusi JavaScript.
Apa yang harus dicari
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Kasus penggunaan umum
- 1Audit a website's security posture β see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Debug rantai redirect β tempel URL kampanye atau tautan pendek dan lihat setiap lompatan 301/302 hingga halaman akhir, plus URL akhir yang benar-benar dimuat peramban.
- 3Konfirmasi konfigurasi cache dan CDN β Cache-Control, ETag, Age, dan CF-Cache-Status mengungkap apakah aset disajikan dari origin, edge cache, atau stale revalidate.
Pertanyaan yang sering diajukan
What's a good security header score?+
Situs modern setidaknya harus mengirim HSTS, CSP, X-Frame-Options atau frame-ancestors di CSP, X-Content-Type-Options: nosniff, dan Referrer-Policy. Permissions-Policy semakin diharapkan.
Situs saya tidak punya satu pun dari header itu β apakah buruk?+
Itu peluang yang terlewat, bukan selalu darurat. Tambahkan HSTS dulu untuk mengunci situs ke HTTPS. Lalu Referrer-Policy yang ketat. CSP adalah pertahanan terkuat tapi butuh perencanaan paling banyak.
Mengapa header Server disembunyikan di beberapa situs?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.