Инспектор HTTP-заголовков
Проверьте заголовки ответа и политику безопасности любого URL. Проверка HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy плюс Server, Content-Type, Cache-Control одним кликом.
Введите публичный URL. Наш сервер однократно загружает его и возвращает заголовки ответа — без тела и без выполнения JavaScript.
На что обратить внимание
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Распространённые сценарии
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Отладка цепочки редиректов — вставьте URL кампании или сокращённую ссылку и проследите каждый 301/302 до конечной целевой страницы и URL, который действительно открывает браузер.
- 3Подтвердите конфигурацию кэша и CDN — Cache-Control, ETag, Age и CF-Cache-Status показывают, отдаются ли ассеты с origin, edge-кэша или stale revalidate.
Часто задаваемые вопросы
What's a good security header score?+
Современный сайт должен отдавать минимум HSTS, CSP, X-Frame-Options или frame-ancestors в CSP, X-Content-Type-Options: nosniff и Referrer-Policy. Permissions-Policy всё чаще ожидается.
На моём сайте нет ни одного из этих заголовков — это плохо?+
Это упущенная возможность, не всегда чрезвычайная ситуация. Сначала добавьте HSTS, чтобы зафиксировать сайт на HTTPS. Затем строгую Referrer-Policy. CSP — самая мощная защита, но требует самой тщательной подготовки.
Почему на некоторых сайтах заголовок Server скрыт?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.