Sprawdzanie nagłówków bezpieczeństwa: CSP, HSTS, X-Frame-Options i więcej
Sprawdź nagłówki bezpieczeństwa HTTP publicznej strony i przejrzyj CSP, HSTS, ochronę przed przejmowaniem kliknięć, politykę odsyłacza, politykę uprawnień oraz sygnały izolacji między źródłami.
Wzmocnienie nagłówków
Sprawdzanie nagłówków bezpieczeństwa
Sprawdź ochronne nagłówki HTTP zwracane przez publiczną stronę internetową.
Narzędzie podąża za maksymalnie pięcioma publicznymi przekierowaniami i ocenia odpowiedź końcową.
Wyniki nagłówków
Uruchom kontrolę, aby zobaczyć szczegóły nagłówków bezpieczeństwa.
Wyniki dotyczące nagłówków bezpieczeństwa pojawią się tutaj po udanej kontroli.
Po co uruchamiać sprawdzanie nagłówków bezpieczeństwa online
Sprawdzanie nagłówków bezpieczeństwa online pomaga potwierdzić, jakie ochronne nagłówki HTTP publiczna strona zwraca w tej chwili. Te nagłówki nie zastępują pracy nad bezpieczeństwem aplikacji, ale ograniczają ekspozycję na typowe ryzyka po stronie przeglądarki, takie jak przejmowanie kliknięć, błędne rozpoznawanie typu MIME, zbyt szerokie odsyłacze, słabe reguły osadzania w ramkach i brak wymuszania HTTPS.
Jak działa test
Narzędzie wykonuje po stronie serwera żądanie HTTP lub HTTPS do podanego publicznego adresu URL, podąża za maksymalnie pięcioma publicznymi przekierowaniami, odczytuje nagłówki odpowiedzi końcowej i ocenia obecność oraz podstawową jakość najczęściej używanych nagłówków bezpieczeństwa. Sprawdza Strict-Transport-Security, Content-Security-Policy, ochronę ramek przez CSP lub X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy oraz Cross-Origin-Resource-Policy.
Jak interpretować wyniki
Zacznij od brakujących nagłówków oznaczonych jako niepowodzenie, a następnie przejrzyj ostrzeżenia, gdzie nagłówek istnieje, ale może być słaby dla nowoczesnych przeglądarek. Wysoki wynik oznacza, że odpowiedź końcowa ma mocną podstawową konfigurację, a niski wynik sugeruje, że strona powinna sprawdzić konfigurację serwera WWW, CDN, frameworka albo nagłówków aplikacji.
- HSTS pomaga przeglądarkom utrzymać przyszłe żądania na HTTPS po bezpiecznej wizycie.
- CSP ogranicza źródła, z których mogą ładować się skrypty, style, ramki, obrazy i inne zasoby.
- Ochrona ramek pomaga zmniejszyć ryzyko przejmowania kliknięć.
- Polityki odsyłacza i uprawnień ograniczają niepotrzebne ujawnianie danych przez przeglądarkę.
- COOP i CORP pomagają izolować konteksty przeglądania i zasoby między źródłami.
Ten test raportuje nagłówki zwrócone przez końcową publiczną odpowiedź. Nie audytuje całej aplikacji, nie dowodzi, że CSP jest idealna, nie testuje sieci prywatnych i nie przechowuje danych osobowych.
Powiązane narzędzia
- Test sieciSprawdzanie certyfikatu SSLUżyj tego narzędzia do sprawdzania certyfikatów SSL, aby zweryfikować wygaśnięcie, wystawcę, pokrycie SAN, dopasowanie nazwy hosta, protokół i odcisk przed diagnozowaniem błędów HTTPS.Otwórz narzędzie
- Test sieciTest HTTP/2 + HTTP/3Użyj testu HTTP/2 i HTTP/3, aby potwierdzić, który protokół przeglądarka wynegocjowała na obecnej ścieżce sieciowej, i porównać zachowanie świeżego żądania.Otwórz narzędzie
- Test sieciWyszukiwanie DNSUżyj wyszukiwania DNS, aby zweryfikować rekordy domeny, porównać oczekiwane wartości i diagnozować problemy z konfiguracją strony, subdomeny lub poczty.Otwórz narzędzie
- Test sieciTest otwartych portówUżyj tego testu otwartego portu, aby sprawdzić przekierowanie portów, reguły zapory i zdalny dostęp na publicznym IP przed diagnozą routerów, serwerów, NAS, SSH, RDP lub usług gier.Otwórz narzędzie