Hızlı cihaz tanılama

Security Headers Checker: CSP, HSTS, X-Frame-Options ve Daha Fazlasını Test Edin

Genel bir web sitesi için HTTP security headers değerlerini inceleyin ve CSP, HSTS, clickjacking koruması, referrer policy, permissions policy ve cross-origin isolation sinyallerini gözden geçirin.

Header hardening

Security Headers Checker

Genel bir web sitesinin döndürdüğü savunma amaçlı HTTP header'larını kontrol edin.

Hazır

Denetleyici en fazla beş genel redirect'i takip eder ve son yanıtı değerlendirir.

Header sonuçları

Güvenlik header ayrıntılarını görmek için bir kontrol çalıştırın.

Güvenlik header skoruHenüz header kontrol edilmedi--/100

Başarılı bir kontrolden sonra güvenlik header bulguları burada görünecek.

Neden çevrimiçi security headers checker çalıştırmalı

Çevrimiçi security headers checker, genel bir sayfanın şu anda hangi savunma amaçlı HTTP header'larını döndürdüğünü doğrulamanıza yardımcı olur. Bu header'lar uygulama güvenliği çalışmalarının yerini almaz; ancak clickjacking, MIME sniffing, aşırı geniş referrer'lar, zayıf framing kuralları ve eksik HTTPS zorlaması gibi yaygın tarayıcı tarafı risklere maruziyeti azaltır.

Test nasıl çalışır

Araç girdiğiniz genel URL'ye sunucu tarafında HTTP veya HTTPS isteği yapar, en fazla beş genel redirect'i takip eder, son yanıt header'larını okur ve en yaygın security header'ların varlığını ve temel kalitesini derecelendirir. Strict-Transport-Security, Content-Security-Policy, CSP veya X-Frame-Options ile frame koruması, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy ve Cross-Origin-Resource-Policy kontrollerini yapar.

Sonuçlar nasıl yorumlanır

Eksik ve başarısız header'larla başlayın, ardından header mevcut olsa bile modern tarayıcılar için zayıf olabilecek uyarıları inceleyin. Yüksek skor son yanıtın güçlü bir temel sunduğu anlamına gelirken, düşük skor sitenin web sunucusu, CDN, framework veya uygulama header yapılandırmasını gözden geçirmesi gerektiğini gösterir.

  • HSTS, güvenli bir ziyaretten sonra tarayıcıların gelecekteki istekleri HTTPS üzerinde tutmasına yardımcı olur.
  • CSP script, style, frame, image ve diğer kaynakların nereden yüklenebileceğini sınırlar.
  • Frame koruması clickjacking riskini azaltmaya yardımcı olur.
  • Referrer ve permissions policies gereksiz tarayıcı veri maruziyetini azaltır.
  • COOP ve CORP cross-origin gezinme bağlamlarını ve kaynakları izole etmeye yardımcı olur.

Bu kontrol son genel yanıt tarafından döndürülen header'ları raporlar. Tüm uygulamayı denetlemez, CSP'nin kusursuz olduğunu kanıtlamaz, private network test etmez veya kişisel veri saklamaz.

İlgili araçlar

Sıkça Sorulan Sorular

Bu security headers checker neyi test eder?

Genel bir URL tarafından döndürülen HTTP response header'larını kontrol eder. Rapor CSP, HSTS, frame protection, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP ve CORP üzerine odaklanır.

Security headers checker nasıl çalışır?

Araç girdiğiniz URL'ye sunucu tarafında istek yapar ve response header'larını okur. Ardından header'ları yaygın tarayıcı güvenliği kontrolleri için muhafazakar bir temel ile puanlar.

Protokol yazmadan domain test edebilir miyim?

Evet. Yalnızca domain girerseniz kontrol aracı varsayılan olarak HTTPS kullanır. Belirli bir yolu incelemek istediğinizde tam HTTP veya HTTPS URL'si de girebilirsiniz.

Mükemmel skor web sitemin güvenli olduğu anlamına gelir mi?

Hayır. Security headers tarayıcı sertleştirmenin bir katmanıdır, tam güvenlik denetimi değildir. Güçlü skor, kontrol edilen yanıtın iyi bir header temeline sahip olduğunu gösterir; ancak uygulamanın yine de güvenli kod, authentication, authorization ve altyapı kontrollerine ihtiyacı vardır.

HSTS neden önemlidir?

HSTS, güvenli bağlantı görüldükten sonra tarayıcılara gelecekteki ziyaretlerde HTTPS kullanmalarını söyler. Anlamlı bir max-age ile yapılandırıldığında downgrade ve kazara düz HTTP maruziyetini azaltmaya yardımcı olur.

Content-Security-Policy neden uyarı gösterebilir?

CSP mevcut olabilir ama unsafe inline scripts veya unsafe eval gibi riskli desenlere hâlâ izin verebilir. Kontrol aracı bu durumları uyarı olarak işaretler; çünkü header yardımcı olur, ancak policy sıkılaştırılmaya ihtiyaç duyabilir.

Clickjacking koruması nedir?

Clickjacking koruması, başka bir sitenin sayfanızı frame içine yerleştirip yerleştiremeyeceğini sınırlar. Genellikle CSP frame-ancestors veya daha eski X-Frame-Options header'ı ile yapılandırılır.

Sonuçlar homepage ile başka bir URL arasında neden farklı olabilir?

Header'lar route, CDN kuralı, framework yanıtı veya origin servisine göre yapılandırılabilir. Kullanıcıların yüklediği kesin URL'yi test edin; çünkü homepage, login page, API route ve static asset farklı header'lar döndürebilir.

Bu checker redirect'leri takip eder mi?

Evet. En fazla beş genel HTTP veya HTTPS redirect'ini takip eder ve son response header'larını değerlendirir; çünkü kullanıcıların genellikle aldığı header'lar bunlardır. İstek yolunun nereye taşındığını inceleyebilmeniz için redirect chain sonuçta gösterilir.

Bu araç private veya local web sitelerini test edebilir mi?

Hayır. Genel domain'ler ve genel HTTP veya HTTPS URL'leri için tasarlanmıştır. Localhost, private network'ler, internal hostname'ler ve reserved IP ranges reddedilir.

Bu security headers checker kullanmak güvenli mi?

Evet. Checker yalnızca genel URL'yi ister ve response header'larını okur. Credential gerektirmez, uzak siteyi değiştirmez ve kişisel veri saklamaz.

Önce hangi header'ı düzeltmeliyim?

Eksik CSP, HTTPS sayfalarda HSTS, frame protection ve X-Content-Type-Options ile başlayın. Ardından uygulamanızın içerik gömme ve cross-origin kaynak kullanımına göre Referrer-Policy, Permissions-Policy, COOP ve CORP'u iyileştirin.