🛠 Все
│
HTTP Headers Checker
Проверка HTTP-заголовков сервера, безопасности и статус-кодов.
Зачем проверять HTTP-заголовки
HTTP-заголовки влияют на безопасность, кеширование и SEO. Проверяйте security headers (HSTS, CSP, X-Frame-Options) для защиты от атак, анализируйте кеширование и редиректы партнёрских лендов.
Что такое HTTP Headers Checker
Просмотр HTTP-заголовков ответа сервера: Server, Cache-Control, Set-Cookie, security headers. Аудит конфигурации web-сервера в один клик.
Когда нужен
Аудит партнёрки. Аудит своего лендинга. Проверка iframe-able status. Поиск конкурента (какой web-stack).
Что не делает
Не меняет заголовки на чужом сайте. Не делает penetration test. Для глубокого аудита безопасности — Mozilla Observatory или SecurityHeaders.com.
Частые вопросы
Что такое HTTP-заголовки? ▾
Метаданные HTTP-запроса/ответа: Server (какой web-server), Content-Type, Set-Cookie, Cache-Control, security headers (HSTS, CSP).
Какие security-headers критичны? ▾
Strict-Transport-Security (HSTS) — принуждает HTTPS. Content-Security-Policy (CSP) — защита от XSS. X-Frame-Options — защита от clickjacking. X-Content-Type-Options — против MIME-sniffing.
Зачем арбитражнику? ▾
Аудит партнёрки — какой web-server, какие технологии. Проверка iframe-able status (X-Frame-Options). Аудит безопасности своего лендинга.
Что значит «нет HSTS»? ▾
Сайт не принуждает браузер использовать HTTPS. Юзер при первом заходе может прийти по HTTP — риск перехвата на этом первом запросе. Норма: HSTS с max-age=31536000.
Что такое CSP? ▾
Content Security Policy — белый список откуда можно загружать скрипты/картинки. Защищает от XSS-инъекций. Сложно настроить, но критично для крупных сайтов.
Server-header — что говорит? ▾
Какой web-сервер: nginx, Apache, Caddy, Litespeed. Иногда видна версия — это уязвимость. Лучше скрывать (Server: -).
Можно ли увидеть iframe-able? ▾
Через X-Frame-Options: DENY (нельзя) или SAMEORIGIN (только с того же домена). Или через Content-Security-Policy frame-ancestors.