Ispettore header HTTP
Ispeziona gli header di risposta e la policy di sicurezza di qualsiasi URL. Controlla HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy insieme a Server, Content-Type, Cache-Control con un clic.
Inserisci un URL pubblico. Il nostro server lo recupera una volta e restituisce gli header di risposta — niente corpo, nessuna esecuzione JavaScript.
Cosa cercare
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Casi d'uso comuni
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Debugga una catena di redirect — incolla un URL di campagna o link abbreviato e osserva ogni salto 301/302 fino alla landing page finale, oltre all'URL che il browser carica effettivamente.
- 3Conferma cache e configurazione CDN — Cache-Control, ETag, Age e CF-Cache-Status rivelano se i tuoi asset arrivano dall'origin, dall'edge cache o da uno stale revalidate.
Domande frequenti
What's a good security header score?+
Un sito moderno dovrebbe inviare almeno HSTS, CSP, X-Frame-Options o frame-ancestors in CSP, X-Content-Type-Options: nosniff e una Referrer-Policy. Permissions-Policy è sempre più attesa.
Il mio sito non ha nessuno di questi header — è grave?+
È un'occasione persa, non sempre un'emergenza. Aggiungi prima HSTS per bloccare il sito su HTTPS. Poi una Referrer-Policy rigorosa. CSP è la difesa più forte ma richiede più pianificazione.
Perché l'header Server è oscurato su alcuni siti?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.