Diagnostica rapida dei dispositivi

Verificatore header di sicurezza: testa CSP, HSTS, X-Frame-Options e altro

Ispeziona gli header di sicurezza HTTP di un sito pubblico e rivedi CSP, HSTS, protezione clickjacking, referrer policy, permissions policy e segnali di isolamento cross-origin.

Hardening tramite header

Verificatore header di sicurezza

Controlla gli header HTTP difensivi restituiti da un sito pubblico.

Pronto

Il verificatore segue fino a cinque reindirizzamenti pubblici e valuta la risposta finale.

Risultati degli header

Esegui un controllo per vedere i dettagli degli header di sicurezza.

Punteggio header di sicurezzaNessun header controllato--/100

I risultati degli header di sicurezza appariranno qui dopo un controllo riuscito.

Perché usare un verificatore di header di sicurezza online

Un verificatore di header di sicurezza online aiuta a confermare quali difese HTTP una pagina pubblica sta restituendo in questo momento. Questi header non sostituiscono la sicurezza applicativa, ma riducono l'esposizione a rischi comuni lato browser come clickjacking, MIME sniffing, referrer troppo ampi, regole frame deboli e assenza di enforcement HTTPS.

Come viene eseguito il test

Lo strumento effettua una richiesta HTTP o HTTPS lato server verso l'URL pubblica indicata, segue fino a cinque reindirizzamenti pubblici, legge gli header della risposta finale e valuta presenza e qualità di base degli header di sicurezza più comuni. Controlla Strict-Transport-Security, Content-Security-Policy, protezione frame tramite CSP o X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy e Cross-Origin-Resource-Policy.

Come interpretare i risultati

Inizia dagli header mancanti indicati come errore, poi rivedi gli avvisi quando un header esiste ma può essere debole per i browser moderni. Un punteggio alto indica una base solida nella risposta finale testata, mentre un punteggio basso indica che server, CDN, framework o applicazione dovrebbero rivedere la configurazione.

  • HSTS aiuta i browser a mantenere le visite future su HTTPS dopo una visita sicura.
  • CSP limita da dove possono caricarsi script, stili, frame, immagini e altre risorse.
  • La protezione frame aiuta a ridurre il rischio di clickjacking.
  • Referrer-Policy e Permissions-Policy riducono l'esposizione non necessaria di dati del browser.
  • COOP e CORP aiutano a isolare contesti e risorse cross-origin.

Questo controllo riporta gli header restituiti dalla risposta pubblica finale. Non audita l'intera applicazione, non prova che la CSP sia perfetta, non testa reti private e non memorizza dati personali.

Strumenti correlati

Domande frequenti

Cosa testa questo verificatore di header di sicurezza?

Controlla gli header HTTP restituiti da una URL pubblica. Il report si concentra su CSP, HSTS, protezione frame, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP e CORP.

Come funziona il verificatore di header di sicurezza?

Lo strumento effettua una richiesta lato server alla URL inserita e legge gli header della risposta. Poi assegna un punteggio agli header rispetto a una base conservativa per controlli comuni di sicurezza del browser.

Posso testare un dominio senza scrivere il protocollo?

Sì. Se inserisci solo un dominio, il verificatore usa HTTPS per impostazione predefinita. Puoi anche inserire una URL HTTP o HTTPS completa quando vuoi ispezionare un percorso specifico.

Un punteggio perfetto significa che il mio sito è sicuro?

No. Gli header di sicurezza sono uno strato di hardening del browser, non un audit completo. Un buon punteggio significa che la risposta controllata ha una buona base, ma l'applicazione richiede comunque codice sicuro, autenticazione, autorizzazione e controlli infrastrutturali.

Perché HSTS è importante?

HSTS dice ai browser di usare HTTPS per le visite future dopo aver visto una connessione sicura. Aiuta a ridurre downgrade ed esposizione accidentale in HTTP semplice quando configurato con un max-age significativo.

Perché Content-Security-Policy può mostrare un avviso?

Una CSP può esistere e consentire comunque pattern rischiosi come script inline non sicuri o eval non sicuro. Il verificatore segnala questi casi come avvisi perché l'header aiuta, ma la policy può richiedere restrizioni più forti.

Cos'è la protezione contro il clickjacking?

La protezione clickjacking limita se un altro sito può inserire la tua pagina dentro un frame. Di solito viene configurata con CSP frame-ancestors o con il vecchio header X-Frame-Options.

Perché i risultati differiscono tra homepage e un'altra URL?

Gli header possono essere configurati per rotta, regola CDN, risposta del framework o servizio di origine. Testa la URL esatta caricata dagli utenti perché homepage, login, API e asset statici possono restituire header diversi.

Questo verificatore segue i reindirizzamenti?

Sì. Segue fino a cinque reindirizzamenti pubblici HTTP o HTTPS e valuta gli header della risposta finale, perché di solito sono quelli ricevuti dagli utenti. La catena di reindirizzamenti appare nel risultato per verificare dove si è spostata la richiesta.

Questo strumento può testare siti privati o locali?

No. È pensato per domini pubblici e URL HTTP o HTTPS pubbliche. Localhost, reti private, hostname interni e intervalli IP riservati vengono rifiutati.

È sicuro usare questo verificatore di header di sicurezza?

Sì. Il verificatore richiede solo la URL pubblica e legge gli header di risposta. Non richiede credenziali, non modifica il sito remoto e non memorizza dati personali.

Quale header dovrei correggere per primo?

Inizia da CSP mancante, HSTS sulle pagine HTTPS, protezione frame e X-Content-Type-Options. Poi perfeziona Referrer-Policy, Permissions-Policy, COOP e CORP in base a come l'app incorpora contenuti e usa risorse cross-origin.