raatools/

Ispettore Header HTTP

Ispeziona gli header HTTP per qualsiasi URL.

Cosa sono le intestazioni HTTP?

Le intestazioni HTTP sono metadati inviati tra un client (browser) e un server con ogni richiesta e risposta web. Controllano la memorizzazione nella cache, l'autenticazione, il tipo di contenuto, le politiche di sicurezza e molti altri aspetti della comunicazione web. Questo strumento consente di ispezionare le intestazioni di risposta restituite da qualsiasi URL, aiutando a eseguire il debug delle applicazioni web e a verificare le configurazioni di sicurezza.

Le intestazioni sono coppie chiave-valore inviate prima del contenuto effettivo della pagina. Le intestazioni di risposta comuni includono Content-Type (che tipo di dati viene inviato), Cache-Control (per quanto tempo memorizzare nella cache la risposta), Set-Cookie (per memorizzare i dati di sessione) e varie intestazioni di sicurezza come Content-Security-Policy e Strict-Transport-Security.

Intestazioni di sicurezza importanti

  • Strict-Transport-Security (HSTS) โ€” forza i browser a usare HTTPS per tutte le connessioni future.
  • Content-Security-Policy (CSP) โ€” controlla quali risorse la pagina puรฒ caricare, prevenendo attacchi XSS.
  • X-Content-Type-Options โ€” impedisce ai browser di indovinare i tipi di contenuto, bloccando certi attacchi.
  • X-Frame-Options โ€” impedisce che la pagina venga incorporata in iframe su altri siti (protezione dal clickjacking).
  • Referrer-Policy โ€” controlla quante informazioni sul referrer vengono inviate quando si naviga lontano dal sito.

Come usare questo strumento

Inserire un URL e lo strumento recupera la pagina e visualizza tutte le intestazioni di risposta. Le intestazioni rilevanti per la sicurezza vengono evidenziate e valutate. Le intestazioni di sicurezza consigliate mancanti vengono segnalate in modo da poter migliorare la configurazione di sicurezza del sito.

Intestazioni di cache spiegate

Le intestazioni Cache-Control determinano se e per quanto tempo i browser e le CDN memorizzano le risposte. Le direttive comuni includono max-age (secondi per la cache), no-cache (rivalidare prima di usare la copia nella cache), no-store (non memorizzare mai nella cache) e public/private (se le cache condivise come le CDN possono memorizzarla). Una corretta memorizzazione nella cache migliora notevolmente la velocitร  di caricamento delle pagine e riduce il carico del server.

Domande frequenti

Perchรฉ dovrei controllare le intestazioni HTTP?

Le intestazioni rivelano configurazioni di sicurezza errate (HSTS o CSP mancanti), problemi di cache (max-age errato che causa contenuto obsoleto) e perdite di informazioni sul server (intestazione Server che rivela le versioni esatte del software). Controllare regolarmente le intestazioni aiuta a mantenere sicurezza e prestazioni. Gli strumenti di verifica della sicurezza e i penetration tester iniziano sempre con l'analisi delle intestazioni.

Qual รจ la differenza tra intestazioni di richiesta e di risposta?

Le intestazioni di richiesta vengono inviate dal browser al server (come Accept, User-Agent, Cookie). Le intestazioni di risposta vengono inviate dal server al browser (come Content-Type, Set-Cookie, Cache-Control). Questo strumento mostra le intestazioni di risposta perchรฉ rivelano la configurazione del server e le impostazioni di sicurezza. Le intestazioni di richiesta si possono vedere negli strumenti per sviluppatori del browser (scheda Rete).