raatools/

HTTP Header Inspektor

Pregledajte HTTP zaglavlja za bilo koji URL.

Što su HTTP zaglavlja?

HTTP zaglavlja su metapodaci koji se šalju između klijenta (preglednika) i poslužitelja sa svakim web zahtjevom i odgovorom. Kontroliraju predmemoriranje, autentifikaciju, vrstu sadržaja, sigurnosne politike i mnoge druge aspekte web komunikacije. Ovaj alat vam omogućuje inspekciju zaglavlja odgovora koje vraća bilo koji URL, pomažući pri otklanjanju grešaka web aplikacija i provjeri sigurnosnih konfiguracija.

Zaglavlja su parovi ključ-vrijednost koji se šalju prije stvarnog sadržaja stranice. Uobičajena zaglavlja odgovora uključuju Content-Type (kakva vrsta podataka se šalje), Cache-Control (koliko dugo predmemorirati odgovor), Set-Cookie (pohrana podataka sesije) i razna sigurnosna zaglavlja poput Content-Security-Policy i Strict-Transport-Security.

Važna sigurnosna zaglavlja

  • Strict-Transport-Security (HSTS) — prisiljava preglednici da koriste HTTPS za sve buduće veze.
  • Content-Security-Policy (CSP) — kontrolira koje resurse stranica može učitati, sprječavajući XSS napade.
  • X-Content-Type-Options — sprječava preglednicima pogađanje vrsta sadržaja, blokirajući određene napade.
  • X-Frame-Options — sprječava ugradnju vaše stranice u iframeove na drugim stranicama (zaštita od clickjackinga).
  • Referrer-Policy — kontrolira koliko referrer informacija se šalje pri navigaciji s vaše stranice.

Kako koristiti ovaj alat

Unesite URL i alat dohvaća stranicu i prikazuje sva zaglavlja odgovora. Sigurnosno relevantna zaglavlja su istaknuta i procijenjena. Nedostajuća preporučena sigurnosna zaglavlja su označena kako biste mogli poboljšati sigurnosnu konfiguraciju vaše stranice.

Zaglavlja predmemorije objašnjena

Cache-Control zaglavlja određuju hoće li i koliko dugo preglednici i CDN-ovi pohranjivati odgovore. Uobičajene direktive uključuju max-age (sekunde za predmemoririvanje), no-cache (provjera valjanosti prije korištenja predmemorirane kopije), no-store (nikad ne predmemorirati) i public/private (mogu li dijeljene predmemorije poput CDN-ova to pohraniti). Pravilno predmemoriranje dramatično poboljšava brzinu učitavanja stranice i smanjuje opterećenje poslužitelja.

Često postavljana pitanja

Zašto bih trebao provjeravati HTTP zaglavlja?

Zaglavlja otkrivaju sigurnosne pogrešne konfiguracije (nedostajuće HSTS ili CSP), probleme s predmemoriranjem (neispravni max-age uzrokuje zastarjeli sadržaj) i curenja informacija o poslužitelju (zaglavlje Server otkriva točne verzije softvera). Redovita provjera zaglavlja pomaže u održavanju sigurnosti i performansi. Alati za sigurnosnu reviziju i penetracijski testovi uvijek počinju s analizom zaglavlja.

Koja je razlika između zaglavlja zahtjeva i odgovora?

Zaglavlja zahtjeva šalje preglednik poslužitelju (poput Accept, User-Agent, Cookie). Zaglavlja odgovora šalje poslužitelj natrag pregledniku (poput Content-Type, Set-Cookie, Cache-Control). Ovaj alat prikazuje zaglavlja odgovora jer otkrivaju konfiguraciju poslužitelja i sigurnosne postavke. Zaglavlja zahtjeva možete vidjeti u alatima za programere vašeg preglednika (kartica Mreža).