raatools/

Inspector antete HTTP

Inspectați anteturile HTTP pentru orice URL.

Ce sunt antetele HTTP?

Antetele HTTP sunt metadate trimise între un client (browser) și server cu fiecare cerere și răspuns web. Controlează caching-ul, autentificarea, tipul de conținut, politicile de securitate și multe alte aspecte ale comunicației web. Acest instrument vă permite să inspectați antetele de răspuns returnate de orice URL, ajutându-vă să depanați aplicații web și să verificați configurațiile de securitate.

Antetele sunt perechi cheie-valoare trimise înainte de conținutul efectiv al paginii. Antetele de răspuns frecvente includ Content-Type (ce tip de date este trimis), Cache-Control (cât timp să se cache-uieze răspunsul), Set-Cookie (stocarea datelor de sesiune) și diverse antete de securitate precum Content-Security-Policy și Strict-Transport-Security.

Antete de securitate importante

  • Strict-Transport-Security (HSTS) — forțează browserele să folosească HTTPS pentru toate conexiunile viitoare.
  • Content-Security-Policy (CSP) — controlează ce resurse poate încărca pagina, prevenind atacurile XSS.
  • X-Content-Type-Options — împiedică browserele să ghicească tipurile de conținut, blocând anumite atacuri.
  • X-Frame-Options — împiedică includerea paginii în iframe-uri pe alte site-uri (protecție clickjacking).
  • Referrer-Policy — controlează câte informații referrer sunt trimise la navigarea departe de site-ul dvs.

Cum se folosește acest instrument

Introduceți un URL și instrumentul preia pagina și afișează toate antetele de răspuns. Antetele relevante pentru securitate sunt evidențiate și evaluate. Antetele de securitate recomandate lipsă sunt marcate pentru a putea îmbunătăți configurația de securitate a site-ului.

Antetele de caching explicate

Antetele Cache-Control determină dacă și cât timp browserele și CDN-urile stochează răspunsurile. Directivele frecvente includ max-age (secunde pentru cache), no-cache (revalidați înainte de a folosi copia din cache), no-store (nu cache-uiați niciodată) și public/private (dacă cache-urile partajate precum CDN-urile pot stoca). Cache-ingul corect îmbunătățește dramatic viteza de încărcare a paginilor și reduce sarcina serverului.

Întrebări frecvente

De ce ar trebui să verific antetele HTTP?

Antetele dezvăluie configurații de securitate greșite (HSTS sau CSP lipsă), probleme de caching (max-age incorect cauzând conținut vechi) și scurgeri de informații despre server (antetul Server care dezvăluie versiunile exacte ale software-ului). Verificarea regulată a antetelor ajută la menținerea securității și performanței. Instrumentele de audit de securitate și testerii de penetrare încep întotdeauna cu analiza antetelor.

Care este diferența dintre antetele de cerere și de răspuns?

Antetele de cerere sunt trimise de browser la server (precum Accept, User-Agent, Cookie). Antetele de răspuns sunt trimise de server înapoi la browser (precum Content-Type, Set-Cookie, Cache-Control). Acest instrument afișează antetele de răspuns, deoarece dezvăluie configurația serverului și setările de securitate. Puteți vedea antetele de cerere în instrumentele pentru dezvoltatori ale browserului (fila Rețea).