HTTP-header inspecteur
Inspecteer de response-headers en het beveiligingsbeleid van elke URL. Controleer HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy plus Server, Content-Type, Cache-Control in één klik.
Voer een publieke URL in. Onze server haalt deze één keer op en retourneert de response-headers — geen body, geen JavaScript uitvoering.
Waar op te letten
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Gangbare toepassingen
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Debug een redirect-keten — plak een campagne-URL of verkorte link en bekijk elke 301/302-hop tot aan de uiteindelijke landingpage, plus de URL die de browser daadwerkelijk laadt.
- 3Bevestig cache- en CDN-configuratie — Cache-Control, ETag, Age en CF-Cache-Status onthullen of je assets vanaf de origin, edge cache of een stale revalidate komen.
Veelgestelde vragen
What's a good security header score?+
Een moderne site zou minstens HSTS, CSP, X-Frame-Options of frame-ancestors in CSP, X-Content-Type-Options: nosniff en een Referrer-Policy moeten meesturen. Permissions-Policy wordt steeds vaker verwacht.
Mijn site heeft geen van deze headers — is dat erg?+
Het is een gemiste kans, niet altijd een noodgeval. Voeg eerst HSTS toe om de site op HTTPS vast te zetten. Daarna een strikte Referrer-Policy. CSP is de sterkste verdediging maar vergt de meeste planning.
Waarom is de Server-header verborgen op sommige sites?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.