Diagnostik perangkat cepat

Pemeriksa header keamanan: uji CSP, HSTS, X-Frame-Options, dan lainnya

Periksa header keamanan HTTP dari situs publik dan tinjau CSP, HSTS, perlindungan clickjacking, kebijakan referrer, kebijakan izin, serta sinyal isolasi cross-origin.

Penguatan header

Pemeriksa header keamanan

Periksa header HTTP defensif yang dikembalikan oleh situs web publik.

Siap

Pemeriksa mengikuti hingga lima pengalihan publik dan mengevaluasi respons akhir.

Hasil header

Jalankan pemeriksaan untuk melihat detail header keamanan.

Skor header keamananBelum ada header yang diperiksa--/100

Temuan header keamanan akan muncul di sini setelah pemeriksaan berhasil.

Mengapa menjalankan pemeriksa header keamanan online

Pemeriksa header keamanan online membantu memastikan pertahanan HTTP apa yang sedang dikembalikan oleh halaman publik. Header ini tidak menggantikan keamanan aplikasi, tetapi membantu mengurangi risiko umum di browser seperti clickjacking, MIME sniffing, referrer yang terlalu luas, aturan frame yang lemah, dan kurangnya penegakan HTTPS.

Cara pengujian berjalan

Alat ini membuat permintaan HTTP atau HTTPS dari sisi server ke URL publik yang Anda masukkan, mengikuti hingga lima pengalihan publik, membaca header respons akhir, lalu menilai keberadaan dan kualitas dasar header keamanan yang paling umum. Pemeriksaan mencakup Strict-Transport-Security, Content-Security-Policy, perlindungan frame melalui CSP atau X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, dan Cross-Origin-Resource-Policy.

Cara menafsirkan hasil

Mulailah dari header yang hilang dan ditandai gagal, lalu tinjau peringatan saat header ada tetapi mungkin masih lemah untuk browser modern. Skor tinggi menunjukkan dasar yang kuat pada respons akhir yang diuji, sedangkan skor rendah menunjukkan server, CDN, framework, atau aplikasi perlu meninjau konfigurasinya.

  • HSTS membantu browser tetap memakai HTTPS pada kunjungan berikutnya setelah koneksi aman terlihat.
  • CSP membatasi dari mana skrip, style, frame, gambar, dan resource lain boleh dimuat.
  • Perlindungan frame membantu mengurangi risiko clickjacking.
  • Referrer-Policy dan Permissions-Policy mengurangi paparan data browser yang tidak perlu.
  • COOP dan CORP membantu mengisolasi konteks dan resource cross-origin.

Pemeriksaan ini melaporkan header dari respons publik akhir. Alat ini tidak mengaudit seluruh aplikasi, tidak membuktikan CSP sempurna, tidak menguji jaringan privat, dan tidak menyimpan data pribadi.

Alat terkait

Pertanyaan umum

Apa yang diuji oleh pemeriksa header keamanan ini?

Alat ini memeriksa header HTTP yang dikembalikan oleh URL publik. Laporannya berfokus pada CSP, HSTS, perlindungan frame, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP, dan CORP.

Bagaimana cara kerja pemeriksa header keamanan?

Alat ini membuat permintaan dari sisi server ke URL yang Anda masukkan dan membaca header respons. Setelah itu alat memberi skor berdasarkan dasar konservatif untuk kontrol keamanan browser yang umum.

Bisakah saya menguji domain tanpa mengetik protokol?

Ya. Jika Anda hanya memasukkan domain, pemeriksa memakai HTTPS secara bawaan. Anda juga dapat memasukkan URL HTTP atau HTTPS lengkap untuk memeriksa jalur tertentu.

Apakah skor sempurna berarti website saya aman?

Tidak. Header keamanan adalah salah satu lapisan penguatan browser, bukan audit keamanan lengkap. Skor kuat berarti respons yang diperiksa memiliki dasar header yang baik, tetapi aplikasi tetap membutuhkan kode aman, autentikasi, otorisasi, dan kontrol infrastruktur.

Mengapa HSTS penting?

HSTS memberi tahu browser untuk menggunakan HTTPS pada kunjungan berikutnya setelah koneksi aman pernah terlihat. Ini membantu mengurangi downgrade dan paparan HTTP biasa yang tidak disengaja jika dikonfigurasi dengan max-age yang berarti.

Mengapa Content-Security-Policy dapat menampilkan peringatan?

CSP bisa ada tetapi masih mengizinkan pola berisiko seperti skrip inline tidak aman atau eval tidak aman. Pemeriksa menandai kasus tersebut sebagai peringatan karena header membantu, tetapi kebijakannya mungkin perlu diperketat.

Apa itu perlindungan clickjacking?

Perlindungan clickjacking membatasi apakah situs lain dapat menempatkan halaman Anda di dalam frame. Biasanya ini dikonfigurasi dengan CSP frame-ancestors atau header lama X-Frame-Options.

Mengapa hasil berbeda antara homepage dan URL lain?

Header dapat dikonfigurasi per route, aturan CDN, respons framework, atau layanan origin. Uji URL yang benar-benar dimuat pengguna karena halaman utama, halaman login, route API, dan asset statis dapat mengembalikan header berbeda.

Apakah pemeriksa ini mengikuti pengalihan?

Ya. Alat ini mengikuti hingga lima pengalihan HTTP atau HTTPS publik dan mengevaluasi header respons akhir, karena biasanya header itulah yang diterima pengguna. Rantai pengalihan ditampilkan di hasil agar Anda dapat meninjau ke mana permintaan berpindah.

Bisakah alat ini menguji website privat atau lokal?

Tidak. Alat ini ditujukan untuk domain publik dan URL HTTP atau HTTPS publik. Localhost, jaringan privat, hostname internal, dan rentang IP cadangan akan ditolak.

Apakah pemeriksa header keamanan ini aman digunakan?

Ya. Pemeriksa hanya meminta URL publik dan membaca header respons. Alat ini tidak memerlukan kredensial, tidak mengubah situs jarak jauh, dan tidak menyimpan data pribadi.

Header mana yang sebaiknya saya perbaiki terlebih dahulu?

Mulailah dari CSP yang hilang, HSTS pada halaman HTTPS, perlindungan frame, dan X-Content-Type-Options. Setelah itu perbaiki Referrer-Policy, Permissions-Policy, COOP, dan CORP sesuai cara aplikasi menanam konten dan memakai resource cross-origin.