Анализатор HTTP-заголовков
Проверяет заголовки HTTP-ответа любого URL. Выделяет отсутствующие заголовки безопасности.
Как пользоваться этим инструментом
- 1
Type a public hostname or URL (for example example.com or https://example.com) into the input box.
- 2
Press Analyze. The tool's server sends a GET request to that host over HTTPS, falling back to HTTP if needed.
- 3
Read the yellow 'Missing security headers' panel to see which of the nine tracked headers are absent.
- 4
Scroll the 'All headers' list to inspect every header the server actually returned, value by value.
Что такое анализатор HTTP-заголовков?
Заголовки HTTP-ответа передают метаданные о каждом ответе: правила кэширования, политики безопасности, тип содержимого и идентификацию сервера. Современная безопасность опирается на такие заголовки, как Strict-Transport-Security (HSTS), Content-Security-Policy (CSP) и X-Frame-Options. Этот инструмент получает URL и показывает все заголовки ответа, а также список отсутствующих рекомендуемых заголовков безопасности.
Типичные сценарии использования
Confirm a freshly deployed site is sending HSTS and a Content-Security-Policy before you announce launch.
Spot-check a competitor's or vendor's public domain to see how their security header posture compares to yours.
Verify that a CDN or reverse-proxy change (Cloudflare, Fastly, nginx) is actually adding the headers you configured at the edge.
Quickly read Cache-Control, ETag, and Content-Type on a production response when debugging a caching or MIME-type bug.
Check whether a redirect chain ends on HTTPS and what the final hop's headers look like, since the tool follows up to five redirects.
Hand a developer a concrete list of missing headers (X-Frame-Options, X-Content-Type-Options, Referrer-Policy) to add to their server config.
Часто задаваемые вопросы
Какие заголовки безопасности у меня должны быть?▼
Опасен ли X-Powered-By?▼
Похожие инструменты
Просмотр DNS-записей
Запрашивает DNS-записи (A, AAAA, MX, TXT, NS, CNAME) любого домена. Полезно для отладки почты, хостинга и настройки SSL.
Запрос WHOIS
Запрашивает регистрационные данные любого домена: регистратора, даты регистрации и истечения, серверы имён и контактную информацию (когда она общедоступна).
Проверка SSL-сертификатов
Проверьте SSL/TLS-сертификат любого домена: издатель, сроки действия и количество дней до истечения.
Проверка кодов состояния HTTP
Проверяет код состояния HTTP, который возвращает любой URL. Определяет 200, 301, 404, 500 и т. д.
Трассировщик цепочек перенаправлений
Отслеживает каждый переход в цепочке перенаправлений. Обнаруживает циклы перенаправлений и избыточные переходы, которые ухудшают производительность.
Проверка смешанного содержимого
Находит ресурсы HTTP, загружаемые страницей по HTTPS. Смешанное содержимое вызывает предупреждения браузера и может быть заблокировано.