raatools/

Інспектор HTTP-заголовків

Перевірте заголовки HTTP-відповіді для будь-якого URL.

Що таке HTTP-заголовки?

HTTP-заголовки — це метадані, що надсилаються між клієнтом (браузером) і сервером з кожним вебзапитом і відповіддю. Вони керують кешуванням, автентифікацією, типом контенту, політиками безпеки та багатьма іншими аспектами вебкомунікації. Цей інструмент дозволяє перевіряти заголовки відповідей, що повертаються будь-якою URL-адресою, допомагаючи налагоджувати вебзастосунки та перевіряти конфігурації безпеки.

Заголовки — це пари «ключ-значення», що надсилаються перед фактичним вмістом сторінки. Поширені заголовки відповідей включають Content-Type (який тип даних надсилається), Cache-Control (як довго кешувати відповідь), Set-Cookie (зберігання даних сесії) та різні заголовки безпеки, як-от Content-Security-Policy і Strict-Transport-Security.

Важливі заголовки безпеки

  • Strict-Transport-Security (HSTS) — змушує браузери використовувати HTTPS для всіх майбутніх з'єднань.
  • Content-Security-Policy (CSP) — контролює, які ресурси може завантажувати сторінка, запобігаючи XSS-атакам.
  • X-Content-Type-Options — запобігає вгадуванню браузерами типів контенту, блокуючи певні атаки.
  • X-Frame-Options — запобігає вбудовуванню вашої сторінки в iframe на інших сайтах (захист від clickjacking).
  • Referrer-Policy — контролює, скільки інформації реферера надсилається при переході з вашого сайту.

Як користуватися цим інструментом

Введіть URL-адресу, і інструмент отримає сторінку та відобразить усі заголовки відповідей. Заголовки, важливі для безпеки, виділено та оцінено. Відсутні рекомендовані заголовки безпеки позначаються, щоб ви могли покращити конфігурацію безпеки свого сайту.

Пояснення заголовків кешування

Заголовки Cache-Control визначають, чи і як довго браузери та CDN зберігають відповіді. Поширені директиви: max-age (секунди кешування), no-cache (повторна перевірка перед використанням кешованої копії), no-store (ніколи не кешувати) та public/private (чи можуть спільні кеші, як-от CDN, зберігати її). Правильне кешування значно покращує швидкість завантаження сторінок і зменшує навантаження на сервер.

Часті запитання

Навіщо перевіряти HTTP-заголовки?

Заголовки розкривають неправильні конфігурації безпеки (відсутність HSTS або CSP), проблеми кешування (неправильний max-age, що спричиняє застарілий контент) та витоки інформації про сервер (заголовок Server, що розкриває точні версії програмного забезпечення). Регулярна перевірка заголовків допомагає підтримувати безпеку та продуктивність. Інструменти аудиту безпеки та тестувальники на проникнення завжди починають із аналізу заголовків.

У чому різниця між заголовками запиту та відповіді?

Заголовки запиту надсилаються браузером на сервер (Accept, User-Agent, Cookie). Заголовки відповіді надсилаються сервером назад браузеру (Content-Type, Set-Cookie, Cache-Control). Цей інструмент показує заголовки відповіді, оскільки вони розкривають конфігурацію сервера та налаштування безпеки. Заголовки запиту можна переглянути в інструментах розробника браузера (вкладка Network).