Luabify Быстрая диагностика устройств

Проверка защитных заголовков: CSP, HSTS, X-Frame-Options и другое

Проверьте защитные HTTP-заголовки публичного сайта и оцените CSP, HSTS, защиту от кликджекинга, политику источника перехода, политику разрешений и сигналы межсайтовой изоляции.

Усиление заголовков

Проверка заголовков безопасности

Проверьте защитные HTTP-заголовки, которые возвращает публичный сайт.

Готово

Проверка следует максимум по пяти публичным редиректам и оценивает финальный ответ.

Результаты заголовков

Запустите проверку, чтобы увидеть детали защитных заголовков.

Оценка заголовков безопасностиЗаголовки еще не проверялись--/100

Результаты по защитным заголовкам появятся здесь после успешной проверки.

Зачем запускать онлайн-проверку защитных заголовков

Онлайн-проверка защитных заголовков помогает подтвердить, какие защитные HTTP-заголовки публичная страница возвращает прямо сейчас. Эти заголовки не заменяют работу над безопасностью приложения, но уменьшают воздействие распространенных браузерных рисков: кликджекинга, определения MIME-типа по содержимому, слишком широкой передачи источника перехода, слабых правил фреймов и отсутствия принудительного HTTPS.

Как проходит проверка

Инструмент выполняет серверный HTTP- или HTTPS-запрос к публичному URL, который вы вводите, следует максимум по пяти публичным редиректам, читает заголовки финального ответа и оценивает наличие и базовое качество самых распространенных защитных заголовков. Он проверяет Strict-Transport-Security, Content-Security-Policy, защиту фреймов через CSP или X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy и Cross-Origin-Resource-Policy.

Как интерпретировать результаты

Начинайте с отсутствующих заголовков, которые не прошли проверку, затем смотрите предупреждения, где заголовок есть, но может быть слабым для современных браузеров. Высокий балл означает, что финальный ответ показывает сильную базовую конфигурацию, а низкий балл означает, что сайту стоит пересмотреть настройки веб-сервера, CDN, фреймворка или приложения.

  • HSTS помогает браузерам оставлять будущие запросы на HTTPS после безопасного визита.
  • CSP ограничивает, откуда могут загружаться скрипты, стили, фреймы, изображения и другие ресурсы.
  • Защита фреймов помогает снизить риск кликджекинга.
  • Политики источника перехода и разрешений уменьшают ненужную передачу данных браузера.
  • COOP и CORP помогают изолировать межсайтовые контексты браузера и ресурсы.

Эта проверка сообщает заголовки, возвращенные финальным публичным ответом. Она не аудирует все приложение, не доказывает идеальность CSP, не тестирует приватные сети и не сохраняет персональные данные.

Похожие инструменты

Частые вопросы

Что проверяет эта проверка защитных заголовков?
Он проверяет HTTP-заголовки ответа, возвращенные публичным URL. Отчет фокусируется на CSP, HSTS, защите фреймов, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP и CORP.

Как работает проверка защитных заголовков?
Инструмент выполняет серверный запрос к введенному URL и читает заголовки ответа. Затем он оценивает заголовки относительно консервативной базовой модели распространенных браузерных средств безопасности.

Можно проверить домен без указания протокола?
Да. Если ввести только домен, проверка по умолчанию использует HTTPS. Также можно ввести полный HTTP- или HTTPS-URL, когда нужно проверить конкретный путь.

Идеальный балл означает, что сайт безопасен?
Нет. Защитные заголовки — это один слой усиления браузера, а не полный аудит безопасности. Сильный балл означает хорошую базовую конфигурацию заголовков у проверенного ответа, но приложению все равно нужны безопасный код, аутентификация, авторизация и инфраструктурные меры.

Почему HSTS важен?
HSTS сообщает браузерам использовать HTTPS при будущих визитах после того, как была видна безопасная связь. При осмысленном max-age он помогает уменьшить downgrade-атаки и случайное открытие по обычному HTTP.

Почему Content-Security-Policy может показывать предупреждение?
CSP может существовать, но все еще разрешать рискованные шаблоны, например inline-скрипты или unsafe eval. Проверка отмечает такие случаи предупреждением: заголовок помогает, но политика может требовать ужесточения.

Что такое защита от кликджекинга?
Защита от кликджекинга ограничивает, может ли другой сайт поместить вашу страницу во фрейм. Обычно она настраивается через CSP frame-ancestors или более старый заголовок X-Frame-Options.

Почему результаты отличаются между главной страницей и другим URL?
Заголовки могут настраиваться отдельно для маршрута, правила CDN, ответа фреймворка или исходного сервиса. Проверяйте точный URL, который загружают пользователи, потому что главная, страница входа, API-маршрут и статический ресурс могут возвращать разные заголовки.

Следует ли проверка редиректам?
Да. Он следует максимум по пяти публичным HTTP- или HTTPS-редиректам и оценивает заголовки финального ответа, потому что обычно именно их получают пользователи. Цепочка редиректов показывается в результате, чтобы вы могли посмотреть, куда переместился запрос.

Может ли инструмент проверить приватные или локальные сайты?
Нет. Он предназначен для публичных доменов и публичных HTTP- или HTTPS-URL. Localhost, приватные сети, внутренние имена хостов и зарезервированные диапазоны IP отклоняются.

Безопасно ли использовать эту проверку защитных заголовков?
Да. Проверка только запрашивает публичный URL и читает заголовки ответа. Ей не нужны учетные данные, она не изменяет удаленный сайт и не сохраняет персональные данные.

Какой заголовок исправлять первым?
Начните с отсутствующих CSP, HSTS на HTTPS-страницах, защиты фреймов и X-Content-Type-Options. Затем уточните Referrer-Policy, Permissions-Policy, COOP и CORP в зависимости от того, как приложение встраивает контент и использует межсайтовые ресурсы.