Analyseur d'en-têtes HTTP
Inspectez les en-têtes de réponse HTTP de n'importe quelle URL. Met en évidence les en-têtes de sécurité absents.
Comment utiliser cet outil
- 1
Type a public hostname or URL (for example example.com or https://example.com) into the input box.
- 2
Press Analyze. The tool's server sends a GET request to that host over HTTPS, falling back to HTTP if needed.
- 3
Read the yellow 'Missing security headers' panel to see which of the nine tracked headers are absent.
- 4
Scroll the 'All headers' list to inspect every header the server actually returned, value by value.
Qu'est-ce que l'analyseur d'en-têtes HTTP ?
Les en-têtes de réponse HTTP transportent des métadonnées sur chaque réponse : règles de mise en cache, politiques de sécurité, type de contenu et identité du serveur. La sécurité moderne repose sur des en-têtes comme Strict-Transport-Security (HSTS), Content-Security-Policy (CSP) et X-Frame-Options. Cet outil récupère une URL et affiche tous les en-têtes de réponse, ainsi qu'une liste des en-têtes de sécurité recommandés manquants.
Cas d'usage courants
Confirm a freshly deployed site is sending HSTS and a Content-Security-Policy before you announce launch.
Spot-check a competitor's or vendor's public domain to see how their security header posture compares to yours.
Verify that a CDN or reverse-proxy change (Cloudflare, Fastly, nginx) is actually adding the headers you configured at the edge.
Quickly read Cache-Control, ETag, and Content-Type on a production response when debugging a caching or MIME-type bug.
Check whether a redirect chain ends on HTTPS and what the final hop's headers look like, since the tool follows up to five redirects.
Hand a developer a concrete list of missing headers (X-Frame-Options, X-Content-Type-Options, Referrer-Policy) to add to their server config.
Questions fréquentes
Quels en-têtes de sécurité devrais-je avoir ?▼
X-Powered-By est-il dangereux ?▼
Outils connexes
Recherche DNS
Interrogez les enregistrements DNS (A, AAAA, MX, TXT, NS, CNAME) de n'importe quel domaine. Utile pour déboguer le courrier, l'hébergement et la configuration SSL.
Recherche WHOIS
Consultez les données d'enregistrement de n'importe quel domaine : bureau d'enregistrement, dates d'enregistrement et d'expiration, serveurs de noms et informations de contact (lorsqu'elles sont publiques).
Vérificateur de certificats SSL
Vérifiez le certificat SSL/TLS de n'importe quel domaine : émetteur, dates de validité et jours avant expiration.
Vérificateur de codes de statut HTTP
Vérifiez le code de statut HTTP que renvoie n'importe quelle URL. Détecte les 200, 301, 404, 500, etc.
Traceur de chaîne de redirections
Suivez chaque saut d'une chaîne de redirections. Détectez les boucles de redirection et les sauts excessifs qui nuisent aux performances.
Vérificateur de contenu mixte
Trouvez les ressources HTTP chargées par une page HTTPS. Le contenu mixte provoque des avertissements du navigateur et peut être bloqué.