Inspektor nagłówków HTTP

Czym są nagłówki HTTP?

Nagłówki HTTP to metadane wysyłane między klientem (przeglądarką) a serwerem z każdym żądaniem i odpowiedzią sieciową. Kontrolują buforowanie, uwierzytelnianie, typ treści, zasady bezpieczeństwa i wiele innych aspektów komunikacji sieciowej. To narzędzie pozwala sprawdzić nagłówki odpowiedzi zwracane przez dowolny URL, pomagając debugować aplikacje internetowe i weryfikować konfiguracje bezpieczeństwa.

Nagłówki to pary klucz-wartość wysyłane przed właściwą treścią strony. Popularne nagłówki odpowiedzi to Content-Type (jaki rodzaj danych jest wysyłany), Cache-Control (jak długo buforować odpowiedź), Set-Cookie (przechowywanie danych sesji) i różne nagłówki bezpieczeństwa, takie jak Content-Security-Policy i Strict-Transport-Security.

Ważne nagłówki bezpieczeństwa

• Strict-Transport-Security (HSTS) — zmusza przeglądarki do używania HTTPS dla wszystkich przyszłych połączeń.
• Content-Security-Policy (CSP) — kontroluje, jakie zasoby strona może ładować, zapobiegając atakom XSS.
• X-Content-Type-Options — uniemożliwia przeglądarkom zgadywanie typów treści, blokując określone ataki.
• X-Frame-Options — uniemożliwia osadzanie Twojej strony w ramkach iframe na innych witrynach (ochrona przed clickjackingiem).
• Referrer-Policy — kontroluje, ile informacji o odsyłaczu jest wysyłanych przy nawigacji z Twojej strony.

Jak korzystać z tego narzędzia

Wpisz URL, a narzędzie pobierze stronę i wyświetli wszystkie nagłówki odpowiedzi. Nagłówki związane z bezpieczeństwem są wyróżnione i ocenione. Brakujące zalecane nagłówki bezpieczeństwa są oznaczane, dzięki czemu możesz poprawić konfigurację bezpieczeństwa swojej witryny.

Objaśnienie nagłówków buforowania

Nagłówki Cache-Control wyznaczają, czy i jak długo przeglądarki i sieci CDN przechowują odpowiedzi. Popularne dyrektywy to max-age (sekundy buforowania), no-cache (weryfikuj przed użyciem kopii z pamięci podręcznej), no-store (nigdy nie buforuj) i public/private (czy współdzielone pamięci podręczne jak sieci CDN mogą przechowywać). Odpowiednie buforowanie drastycznie poprawia prędkość ładowania strony i zmniejsza obciążenie serwera.

Często zadawane pytania

Dlaczego powinienem sprawdzać nagłówki HTTP?

Nagłówki ujawniają błędy konfiguracji bezpieczeństwa (brakujące HSTS lub CSP), problemy z buforowaniem (nieprawidłowy max-age powodujący przestarzałe treści) i wycieki informacji o serwerze (nagłówek Server ujawniający dokładne wersje oprogramowania). Regularne sprawdzanie nagłówków pomaga utrzymać bezpieczeństwo i wydajność. Narzędzia audytu bezpieczeństwa i testerzy penetracyjni zawsze zaczynają od analizy nagłówków.

Jaka jest różnica między nagłówkami żądania a odpowiedzi?

Nagłówki żądania są wysyłane przez przeglądarkę do serwera (np. Accept, User-Agent, Cookie). Nagłówki odpowiedzi są wysyłane przez serwer z powrotem do przeglądarki (np. Content-Type, Set-Cookie, Cache-Control). To narzędzie pokazuje nagłówki odpowiedzi, ponieważ ujawniają konfigurację serwera i ustawienia bezpieczeństwa. Nagłówki żądania możesz zobaczyć w narzędziach deweloperskich przeglądarki (zakładka Sieć).