HTTP 헤더 검사기
모든 URL의 응답 헤더와 보안 정책을 검사합니다. HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy와 Server, Content-Type, Cache-Control을 한 번에 확인하세요.
공개 URL을 입력하세요. 서버가 한 번만 가져와 응답 헤더를 반환합니다 — 본문 없음, JavaScript 실행 없음.
확인할 사항
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
일반적인 사용 사례
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2리디렉션 체인 디버그 — 캠페인 URL이나 단축 링크를 붙여 넣고 모든 301/302 점프를 최종 랜딩 페이지와 브라우저가 실제 로드하는 최종 URL까지 확인하세요.
- 3캐시 및 CDN 구성 확인 — Cache-Control, ETag, Age, CF-Cache-Status로 자산이 origin, edge 캐시, 또는 stale revalidate 중 어디서 제공되는지 알 수 있습니다.
자주 묻는 질문
What's a good security header score?+
최신 사이트는 적어도 HSTS, CSP, X-Frame-Options 또는 CSP의 frame-ancestors, X-Content-Type-Options: nosniff, 그리고 Referrer-Policy를 보내야 합니다. Permissions-Policy도 점차 기본이 되어가고 있습니다.
내 사이트에는 이런 헤더가 하나도 없어요 — 안 좋은가요?+
긴급한 비상이 아니라 기회를 놓치는 것에 가깝습니다. 먼저 HSTS를 추가해 사이트를 HTTPS로 고정하세요. 그 다음 엄격한 Referrer-Policy. CSP는 가장 강력한 방어지만 가장 많은 계획이 필요합니다.
일부 사이트에서 Server 헤더가 가려지는 이유는?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.