Szybka diagnostyka urządzeń

Sprawdzanie nagłówków bezpieczeństwa: CSP, HSTS, X-Frame-Options i więcej

Sprawdź nagłówki bezpieczeństwa HTTP publicznej strony i przejrzyj CSP, HSTS, ochronę przed clickjackingiem, politykę referrera, politykę uprawnień oraz sygnały izolacji cross-origin.

Wzmocnienie nagłówków

Sprawdzanie nagłówków bezpieczeństwa

Sprawdź ochronne nagłówki HTTP zwracane przez publiczną stronę internetową.

Gotowe

Narzędzie podąża za maksymalnie pięcioma publicznymi przekierowaniami i ocenia odpowiedź końcową.

Wyniki nagłówków

Uruchom kontrolę, aby zobaczyć szczegóły nagłówków bezpieczeństwa.

Ocena nagłówków bezpieczeństwaNie sprawdzono jeszcze nagłówków--/100

Wyniki dotyczące nagłówków bezpieczeństwa pojawią się tutaj po udanej kontroli.

Po co uruchamiać sprawdzanie nagłówków bezpieczeństwa online

Sprawdzanie nagłówków bezpieczeństwa online pomaga potwierdzić, jakie ochronne nagłówki HTTP publiczna strona zwraca w tej chwili. Te nagłówki nie zastępują pracy nad bezpieczeństwem aplikacji, ale ograniczają ekspozycję na typowe ryzyka po stronie przeglądarki, takie jak clickjacking, MIME sniffing, zbyt szerokie odsyłacze, słabe reguły osadzania w ramkach i brak wymuszania HTTPS.

Jak działa test

Narzędzie wykonuje po stronie serwera żądanie HTTP lub HTTPS do podanego publicznego adresu URL, podąża za maksymalnie pięcioma publicznymi przekierowaniami, odczytuje nagłówki odpowiedzi końcowej i ocenia obecność oraz podstawową jakość najczęściej używanych nagłówków bezpieczeństwa. Sprawdza Strict-Transport-Security, Content-Security-Policy, ochronę ramek przez CSP lub X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy oraz Cross-Origin-Resource-Policy.

Jak interpretować wyniki

Zacznij od brakujących nagłówków oznaczonych jako niepowodzenie, a następnie przejrzyj ostrzeżenia, gdzie nagłówek istnieje, ale może być słaby dla nowoczesnych przeglądarek. Wysoki wynik oznacza, że odpowiedź końcowa ma mocną podstawową konfigurację, a niski wynik sugeruje, że strona powinna sprawdzić konfigurację serwera WWW, CDN, frameworka albo nagłówków aplikacji.

  • HSTS pomaga przeglądarkom utrzymać przyszłe żądania na HTTPS po bezpiecznej wizycie.
  • CSP ogranicza źródła, z których mogą ładować się skrypty, style, ramki, obrazy i inne zasoby.
  • Ochrona ramek pomaga zmniejszyć ryzyko clickjackingu.
  • Polityki referrera i uprawnień ograniczają niepotrzebne ujawnianie danych przez przeglądarkę.
  • COOP i CORP pomagają izolować konteksty przeglądania i zasoby cross-origin.

Ten test raportuje nagłówki zwrócone przez końcową publiczną odpowiedź. Nie audytuje całej aplikacji, nie dowodzi, że CSP jest idealna, nie testuje sieci prywatnych i nie przechowuje danych osobowych.

Powiązane narzędzia

Najczęściej zadawane pytania

Co testuje to narzędzie do sprawdzania nagłówków bezpieczeństwa?

Sprawdza nagłówki odpowiedzi HTTP zwracane przez publiczny adres URL. Raport skupia się na CSP, HSTS, ochronie ramek, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP i CORP.

Jak działa sprawdzanie nagłówków bezpieczeństwa?

Narzędzie wykonuje po stronie serwera żądanie do podanego adresu URL i odczytuje nagłówki odpowiedzi. Następnie ocenia je względem konserwatywnej bazy typowych mechanizmów bezpieczeństwa przeglądarki.

Czy mogę przetestować domenę bez wpisywania protokołu?

Tak. Jeśli wpiszesz samą domenę, narzędzie domyślnie użyje HTTPS. Możesz też podać pełny adres HTTP lub HTTPS, gdy chcesz sprawdzić konkretną ścieżkę.

Czy idealny wynik oznacza, że moja strona jest bezpieczna?

Nie. Nagłówki bezpieczeństwa są jedną warstwą wzmacniania przeglądarki, a nie pełnym audytem bezpieczeństwa. Mocny wynik oznacza, że sprawdzona odpowiedź ma dobrą podstawową konfigurację nagłówków, ale aplikacja nadal potrzebuje bezpiecznego kodu, uwierzytelniania, autoryzacji i zabezpieczeń infrastruktury.

Dlaczego HSTS jest ważny?

HSTS informuje przeglądarki, aby po bezpiecznym połączeniu używały HTTPS przy kolejnych wizytach. Przy sensownej wartości max-age pomaga ograniczyć downgrade i przypadkową ekspozycję przez zwykłe HTTP.

Dlaczego Content-Security-Policy może pokazywać ostrzeżenie?

CSP może istnieć, a jednocześnie dopuszczać ryzykowne wzorce, takie jak unsafe-inline lub unsafe-eval. Narzędzie oznacza takie przypadki jako ostrzeżenia, ponieważ nagłówek pomaga, ale polityka może wymagać zaostrzenia.

Czym jest ochrona przed clickjackingiem?

Ochrona przed clickjackingiem ogranicza możliwość umieszczania Twojej strony w ramce przez inną witrynę. Zwykle konfiguruje się ją przez CSP frame-ancestors albo starszy nagłówek X-Frame-Options.

Dlaczego wyniki różnią się między stroną główną a innym adresem URL?

Nagłówki mogą być konfigurowane osobno dla trasy, reguły CDN, odpowiedzi frameworka albo usługi źródłowej. Testuj dokładny adres URL ładowany przez użytkowników, bo strona główna, strona logowania, trasa API i zasób statyczny mogą zwracać różne nagłówki.

Czy narzędzie podąża za przekierowaniami?

Tak. Podąża za maksymalnie pięcioma publicznymi przekierowaniami HTTP lub HTTPS i ocenia nagłówki odpowiedzi końcowej, bo to właśnie je zwykle otrzymują użytkownicy. Łańcuch przekierowań jest pokazany w wyniku, aby można było sprawdzić, dokąd przeniosło się żądanie.

Czy to narzędzie testuje prywatne lub lokalne strony?

Nie. Jest przeznaczone dla publicznych domen i publicznych adresów HTTP lub HTTPS. Localhost, sieci prywatne, wewnętrzne nazwy hostów i zarezerwowane zakresy IP są odrzucane.

Czy używanie tego narzędzia jest bezpieczne?

Tak. Narzędzie tylko odpytuje publiczny adres URL i odczytuje nagłówki odpowiedzi. Nie wymaga danych logowania, nie modyfikuje zdalnej strony i nie przechowuje danych osobowych.

Który nagłówek poprawić najpierw?

Zacznij od brakującego CSP, HSTS na stronach HTTPS, ochrony ramek i X-Content-Type-Options. Następnie dopracuj Referrer-Policy, Permissions-Policy, COOP i CORP zgodnie z tym, jak aplikacja osadza treści i używa zasobów cross-origin.