HTTP-otsikoiden tarkastaja

Mita ovat HTTP-otsikot?

HTTP-otsikot ovat metadataa, joka lahetetaan asiakkaan (selain) ja palvelimen valilla jokaisen verkkopyynnon ja vastauksen yhteydessa. Ne ohjaavat valimuistia, todennusta, sisaltotyyppia, tietoturvapolitiikkoja ja monia muita verkkotoiminnan osa-alueita. Otsikoiden ymmartaminen on olennaista web-kehittajille, tietoturva-asiantuntijoille ja jarjestelmanvalvojille.

Otsikot ovat avain-arvopareita, jotka lahetetaan ennen varsinaista sivusisaltoa. Yleisia vastausotsikoita ovat Content-Type (mita dataa lahetetaan), Cache-Control (kuinka kauan valimuistittaa), Set-Cookie (evaasteiden hallinta) ja tietoturvaotsikot kuten Content-Security-Policy ja Strict-Transport-Security.

Tarkeat tietoturvaotsikot

• Strict-Transport-Security (HSTS) — pakottaa selaimet kayttamaan HTTPS:aa kaikissa tulevissa yhteyksissae.
• Content-Security-Policy (CSP) — hallitsee, mita resursseja sivu voi ladata, estaa XSS-hyokkayksiae.
• X-Content-Type-Options — estaa selaimia arvaamasta sisaltotyyppeja, estaa tiettyjae hyokkayksiae.
• X-Frame-Options — estaa sivusi upottamisen iframe-kehykseen muilla sivustoilla (clickjacking-suojaus).
• Referrer-Policy — hallitsee, kuinka paljon viitetietoja lahetetaan, kun kayttaja siirtyy pois sivustoltasi.

Tyokalun kayttohje

Syota URL ja tyokalu hakee sivun ja nayttaa kaikki vastausotsikot. Tietoturvaan liittyvat otsikot korostetaan ja arvioidaan. Puuttuvat tietoturvaotsikot merkitaan varoituksin. Tama auttaa tunnistamaan valimuisti-, CORS- ja tietoturvakonfiguraatio-ongelmat nopeasti.

Valimuistiotsikot selitettyna

Cache-Control-otsikot maaraavat, tallennetaanko ja kuinka kauan selaimet ja CDN:t tallentavat vastauksia. Yleisia direktiiveja ovat max-age (sekunteja valimuistissa), no-cache (tarkista aina palvelimelta ennen kayttoa), no-store (ala tallenna koskaan) ja public/private (voivatko jaetut valimuistit tallentaa).

Usein kysytyt kysymykset

Miksi minun pitaisi tarkistaa HTTP-otsikot?

Otsikot paljastavat tietoturvakonfiguraatio-ongelmat (puuttuva HSTS tai CSP), valimuistiongelmat (vaara max-age aiheuttaa vanhentunutta sisaltoa) ja palvelintietoja, jotka voivat auttaa hyokkaajia. Otsikoiden tarkistaminen on ensimmainen askel verkkosovelluksen tietoturvan auditoinnissa.

Mika on pyynto- ja vastausotsikoiden ero?

Pyyntoiotsikot lahetetaan selaimesta palvelimelle (kuten Accept, User-Agent, Cookie). Vastausotsikot lahetetaan palvelimelta takaisin selaimeen (kuten Content-Type, Set-Cookie, Cache-Control). Molemmat ovat avain-arvopareja, mutta ne kulkevat eri suuntiin.