Inspektor nagłówków HTTP
Sprawdź nagłówki odpowiedzi i politykę bezpieczeństwa dowolnego URL. Zweryfikuj HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy oraz Server, Content-Type, Cache-Control jednym kliknięciem.
Wprowadź publiczny URL. Nasz serwer pobiera go raz i zwraca nagłówki odpowiedzi — bez treści, bez wykonywania JavaScript.
Na co zwrócić uwagę
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Typowe zastosowania
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Debuguj łańcuch przekierowań — wklej URL kampanii lub skrócony link i obserwuj każdy hop 301/302 aż do końcowej strony, plus URL, który faktycznie ładuje przeglądarka.
- 3Potwierdź konfigurację cache i CDN — Cache-Control, ETag, Age i CF-Cache-Status pokazują, czy zasoby są serwowane z originu, edge cache, czy stale revalidate.
Często zadawane pytania
What's a good security header score?+
Współczesna strona powinna wysyłać co najmniej HSTS, CSP, X-Frame-Options lub frame-ancestors w CSP, X-Content-Type-Options: nosniff oraz Referrer-Policy. Permissions-Policy coraz częściej jest oczekiwana.
Moja strona nie ma żadnego z tych nagłówków — czy to źle?+
To stracona okazja, nie zawsze pilne zagrożenie. Najpierw dodaj HSTS, aby zablokować stronę na HTTPS. Potem ścisłą Referrer-Policy. CSP to najsilniejsza obrona, ale wymaga najwięcej planowania.
Dlaczego nagłówek Server jest ukryty na niektórych stronach?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.