Pemeriksa header keamanan: uji CSP, HSTS, X-Frame-Options, dan lainnya
Periksa header keamanan HTTP dari situs publik dan tinjau CSP, HSTS, perlindungan clickjacking, kebijakan referrer, kebijakan izin, serta sinyal isolasi cross-origin.
Penguatan header
Pemeriksa header keamanan
Periksa header HTTP defensif yang dikembalikan oleh situs web publik.
Pemeriksa mengikuti hingga lima pengalihan publik dan mengevaluasi respons akhir.
Hasil header
Jalankan pemeriksaan untuk melihat detail header keamanan.
Temuan header keamanan akan muncul di sini setelah pemeriksaan berhasil.
Mengapa menjalankan pemeriksa header keamanan online
Pemeriksa header keamanan online membantu memastikan pertahanan HTTP apa yang sedang dikembalikan oleh halaman publik. Header ini tidak menggantikan keamanan aplikasi, tetapi membantu mengurangi risiko umum di browser seperti clickjacking, MIME sniffing, referrer yang terlalu luas, aturan frame yang lemah, dan kurangnya penegakan HTTPS.
Cara pengujian berjalan
Alat ini membuat permintaan HTTP atau HTTPS dari sisi server ke URL publik yang Anda masukkan, mengikuti hingga lima pengalihan publik, membaca header respons akhir, lalu menilai keberadaan dan kualitas dasar header keamanan yang paling umum. Pemeriksaan mencakup Strict-Transport-Security, Content-Security-Policy, perlindungan frame melalui CSP atau X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, dan Cross-Origin-Resource-Policy.
Cara menafsirkan hasil
Mulailah dari header yang hilang dan ditandai gagal, lalu tinjau peringatan saat header ada tetapi mungkin masih lemah untuk browser modern. Skor tinggi menunjukkan dasar yang kuat pada respons akhir yang diuji, sedangkan skor rendah menunjukkan server, CDN, framework, atau aplikasi perlu meninjau konfigurasinya.
- HSTS membantu browser tetap memakai HTTPS pada kunjungan berikutnya setelah koneksi aman terlihat.
- CSP membatasi dari mana skrip, style, frame, gambar, dan resource lain boleh dimuat.
- Perlindungan frame membantu mengurangi risiko clickjacking.
- Referrer-Policy dan Permissions-Policy mengurangi paparan data browser yang tidak perlu.
- COOP dan CORP membantu mengisolasi konteks dan resource cross-origin.
Pemeriksaan ini melaporkan header dari respons publik akhir. Alat ini tidak mengaudit seluruh aplikasi, tidak membuktikan CSP sempurna, tidak menguji jaringan privat, dan tidak menyimpan data pribadi.
Alat terkait
- Tes jaringanPemeriksa sertifikat SSLGunakan pemeriksa sertifikat SSL ini untuk memvalidasi kedaluwarsa, penerbit, cakupan SAN, kecocokan nama host, protokol, dan sidik jari sebelum mendiagnosis error HTTPS.Buka alat
- Tes jaringanTes HTTP/2 + HTTP/3Gunakan tes HTTP/2 dan HTTP/3 ini untuk memastikan protokol yang dinegosiasikan browser Anda pada jalur jaringan saat ini dan membandingkan perilaku permintaan baru.Buka alat
- Tes jaringanPencarian DNSGunakan DNS lookup ini untuk memvalidasi record domain, membandingkan nilai yang diharapkan, dan mendiagnosis masalah website, subdomain, atau email.Buka alat
- Tes jaringanTes Port TerbukaGunakan cek port terbuka ini untuk menguji penerusan port, aturan firewall, dan akses jarak jauh di IP publik Anda sebelum menelusuri router, server, NAS, SSH, RDP, atau layanan game.Buka alat