مدقق رؤوس الأمان
افحص عنوان URL بحثًا عن رؤوس أمان مفقودة أو محفوفة بالمخاطر (CSP، HSTS، X-Frame-Options، X-Content-Type-Options، Referrer-Policy، Permissions-Policy، COOP/COEP/CORP) وحلل أعلام الكوكيز (Secure، HttpOnly، SameSite). اتبع عمليات إعادة التوجيه إلى الوجهة النهائية، وصدّر تقارير JSON/PDF، واحصل على توصيات قابلة للتنفيذ للتعزيز.
الميزات
- اتبع عمليات إعادة التوجيه لتدقيق وجهة HTTPS النهائية (موصى بها للنشرات الواقعية).
- يتحقق من رؤوس التعزيز المطلوبة: سياسة أمان المحتوى، أمان النقل الصارم، خيارات نوع المحتوى X، خيارات الإطار X، سياسة المراجع، سياسة الصلاحيات.
- يتحقق من الرؤوس الحديثة الموصى بها: COOP، COEP، CORP، Origin-Agent-Cluster، وإشارات التعزيز الإضافية عند وجودها.
- تحليل الكوكيز لأعلام Set-Cookie: Secure، HttpOnly، SameSite؛ يحذر من SameSite=None بدون Secure.
- تحليل CSP: يسلط الضوء على unsafe-inline، unsafe-eval، مصادر البدل العام، التوجيهات الدفاعية المفقودة (default-src، object-src، base-uri، frame-ancestors)، وتحذيرات وضع التقارير فقط.
- يعلّم عن الرؤوس المهملة أو المحفوفة بالمخاطر (مثل X-XSS-Protection) ورؤوس تسريب المعلومات (مثل Server، X-Powered-By).
- نتائج قابلة للنسخ/المشاركة لمراجعات الأمان، تقارير اختبار الاختراق، أو تذاكر الأخطاء.
- تنزيل التقارير كـ JSON أو PDF للتدقيق، أدلة الامتثال، وتتبع التراجعات.
🧭 كيفية الاستخدام for security-headers-checker
الصق عنوان URL الذي تريد تدقيقه
أدخل عنوان URL الكامل (يفضل https://…). تقيّم الأداة رؤوس الاستجابة التي يُرجعها هذا النقطة النهائية.
تفعيل "متابعة إعادة التوجيه" (موصى به)
توجّه العديد من المواقع من http→https ومن non-www→www (أو العكس). تتيح متابعة إعادة التوجيه تدقيق الوجهة النهائية التي يصل إليها المستخدمون والروبوتات فعليًا.
اختر ما إذا كنت تريد عرض الرؤوس الأولية
فعّل "عرض الرؤوس الأولية" إذا كنت تريد سطور الرأس الأصلية لتصحيح الأخطاء (ممتاز لشبكات توصيل المحتوى، الخوادم العكسية، والإعدادات الافتراضية للأطر).
راجع النتائج وحدد أولويات الإصلاحات
ركز أولاً على أمان النقل (HSTS)، ومكافحة XSS (CSP)، وحماية الإطارات من احتيال النقرات، وأعلام الكوكيز، وعزل المصادر المتقاطعة (COOP/COEP/CORP) حيثما ينطبق.
صدّر تقريرًا للمتابعة
نزّل JSON/PDF لإرفاقه بالتذاكر، أو لمقارنة التغييرات بمرور الوقت، أو لإضافة فحوصات إلى التكامل المستمر للكشف عن التراجعات.
المواصفات الفنية
ما تتحقق منه هذه الأداة
يركز المدقق على رؤوس الاستجابة الحديثة عالية التأثير وسمات الكوكيز المستخدمة لضوابط الأمان التي يفرضها المتصفح.
| المجال | الإشارات التي تم فحصها | لماذا يهم |
|---|---|---|
| أمان النقل | Strict-Transport-Security (HSTS) | يفرض HTTPS ويساعد في منع تجريد SSL في الزيارات اللاحقة. |
| التخفيف من هجمات XSS | Content-Security-Policy (CSP) + الأخطاء الشائعة | يحدد مصادر النصوص البرمجية والأنماط ويقلل من تأثير XSS عند التكوين الصحيح. |
| سرقة النقرات | X-Frame-Options و/أو CSP frame-ancestors | يمنع تأطير صفحاتك من قبل أصول أخرى. |
| استنشاق MIME | X-Content-Type-Options: nosniff | يمنع المتصفحات من تخمين أنواع المحتوى بطرق محفوفة بالمخاطر. |
| تسريب المرجع | Referrer-Policy | يتحكم في كمية معلومات المرجع المرسلة إلى المواقع الأخرى. |
| تحكم الصلاحيات | Permissions-Policy | يحد من الميزات القوية (الكاميرا، الميكروفون، تحديد الموقع، إلخ) على مستوى المتصفح. |
| عزل عبر المصادر | COOP / COEP / CORP (وذات الصلة) | مطلوب لعزل أمان متقدم وبعض واجهات برمجة التطبيقات عالية الأداء. |
| ملفات تعريف الارتباط | إعدادات Set-Cookie: Secure، HttpOnly، SameSite | يقلل من خطر سرقة الجلسة ويخفف من هجمات CSRF عند التكوين الصحيح. |
| محفوف بالمخاطر/مهمل | X-XSS-Protection، Server، X-Powered-By (عند التواجد) | ضوابط مهملة أو تسريب معلومات يمكن أن يساعد المهاجمين. |
سلوك الطلبات والحدود
يعمل التدقيق من جانب الخادم ويمكنه متابعة إعادة التوجيه لمطابقة سلوك التنقل الحقيقي.
| الإعداد | السلوك | الافتراضي |
|---|---|---|
| متابعة إعادة التوجيه | يتابع حتى عدد محدود من عمليات إعادة التوجيه | مفعل |
| الحد الأقصى لإعادة التوجيه | الحد الأقصى لإعادة التوجيه عند تفعيل المتابعة | 10 |
| المهلة | مهلة الطلب | 15000 مللي ثانية |
| وكيل المستخدم | رأس تعريف الطلب | Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com)) |
| الشبكات الخاصة | يحجب أهداف الشبكة الخاصة | غير مسموح |
تفسير النتائج بشكل صحيح
فحص الرأس "الناجح" لا يعني "آمنًا". الرؤوس هي طبقة واحدة فقط. الهدف هو تقليل نطاق تأثير فئات المشكلات الشائعة وفرض إعدادات متصفح أكثر أمانًا بشكل افتراضي.
سطر الأوامر
استخدم curl لتكرار ما يفعله المدقق والتحقق من الرؤوس بسرعة أثناء التصحيح أو التكامل المستمر.
macOS / Linux
جلب رؤوس الاستجابة
curl -I [https://example.com](https://example.com)يعرض الرؤوس الأساسية التي يُرجعها نقطة النهاية.
اتبع إعادة التوجيه وأظهر الرؤوس
curl -IL [https://example.com](https://example.com)مفيد لتأكيد رؤوس الوجهة النهائية بعد عمليات إعادة التوجيه.
فحص سطور Set-Cookie
curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'يساعد في التحقق من سمات Secure/HttpOnly/SameSite.
Windows (PowerShell)
جلب رؤوس الاستجابة
(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headersيطبع الرؤوس المُرجعة في PowerShell.
حالات الاستخدام
خط أساسي لتأمين تطبيق ويب
إنشاء حد أدنى أساسي للرؤوس واكتشاف الرؤوس المفقودة بعد النشر، أو تغييرات الوكيل/CDN، أو ترقيات الإطار.
- التحقق من وجود HSTS على HTTPS للإنتاج
- تأكد من تمكين حماية منع النقر عبر الصفحات المصادق عليها
مراجعة أمان ملفات تعريف الارتباط والجلسة
التحقق من إرسال ملفات تعريف الارتباط للجلسة مع Secure/HttpOnly/SameSite واكتشاف التكوينات الخاطئة الشائعة.
- اكتشاف SameSite=None بدون Secure
- تأكيد تعيين HttpOnly على رموز الجلسة
جودة سياسة أمان المحتوى وتقليل مخاطر XSS
تحديد أنماط CSP عالية الخطورة وإعطاء الأولوية للإصلاحات التي تقلل بشكل ملموس من تأثير XSS.
- إزالة unsafe-inline واعتماد استراتيجية nonce/hash
- إضافة frame-ancestors و base-uri لافتراضات أقوى
فحوصات تراجع CDN / الوكيل العكسي
اكتشاف متى يقوم CDN أو موزع الحمل أو الوكيل بإزالة أو تكرار الرؤوس.
- التحقق من بقاء رؤوس الأمان بعد تغييرات Cloudflare/Varnish/Nginx
- ضمان أن إعادة التوجيه لا تتسبب في إسقاط HSTS على الوجهة النهائية
❓ Frequently Asked Questions
❓لماذا تعتبر رؤوس الأمان مهمة؟
❓هل يجب تفعيل "متابعة إعادة التوجيه"؟
❓هل CSP مطلوب لكل موقع؟
❓لماذا يتم تصنيف X-XSS-Protection على أنه مهمل أو محفوف بالمخاطر؟
❓ما هو الخطأ الشائع في HSTS؟
HTTPS مع نسيان تقديم HTTPS باستمرار (أو فقدانه على المضيف الأساسي). خطأ شائع آخر هو إضافة توجيهات التحميل المسبق دون استيفاء متطلبات التحميل المسبق بالكامل.❓هل يمكن للرؤوس وحدها تأمين تطبيقي؟
Pro Tips
قم بمراجعة كل من صفحة HTML الرئيسية ونقاط نهاية API الخاصة بك. غالبًا ما يكون لديها برمجيات وسيطة مختلفة ويمكن أن تتباعد بصمت في تغطية الرؤوس.
قم بتشغيل فحص سلسلة إعادة التوجيه: تأكد من أن الوجهة النهائية تحدد أقوى الرؤوس (خاصة HSTS و CSP).
عالج ملفات تعريف الارتباط كجزء من محيط أمانك: يجب أن تكون الإعدادات الآمنة + HttpOnly + SameSite المناسبة هي الافتراضية لملفات تعريف الارتباط الخاصة بالجلسة.
بالنسبة لسياسة أمان المحتوى (CSP)، ركز على إزالة unsafe-inline/unsafe-eval واعتماد nonces أو hashes. هذا عادة ما يحقق أكبر مكسب أمني واقعي.
تجنب تسريب تفاصيل الخادم. قم بإزالة أو تقليل رأس Server / X-Powered-By حيثما أمكن لتقليل البصمة الرقمية.
أضف اختبار انحدار في التكامل المستمر (CI) يفشل عمليات النشر إذا اختفت الرؤوس الحرجة (التغييرات في الوكيل أو شبكة توصيل المحتوى تسبب هذا أكثر مما يتوقعه الناس).
Additional Resources
Other Tools
- محسن CSS
- محسن HTML
- محسن Javascript
- محسن PHP
- منتقي الألوان
- مستخرج Sprite
- مُشَفِّر ثنائي Base32
- فَكَّاك Base32
- مُشَفِّر Base32
- مُشَفِّر ثنائي Base58
- فَكَّاك Base58
- مُشَفِّر Base58
- مُشَفِّر ثنائي Base62
- فَكَّاك Base62
- مُشَفِّر Base62
- مُشَفِّر ثنائي Base64
- فك تشفير Base64
- تشفير Base64
- مُشَفِّر ثنائي سداسي عشري
- فَكَّاك سداسي عشري
- مُشَفِّر سداسي عشري
- منسق Csharp
- منسق CSV
- Dockerfile Formatter
- منسق Elm
- منسق ENV
- منسق Go
- منسق Graphql
- منسق Hcl
- منسق INI
- منسق JSON
- منسق Latex
- منسق Markdown
- منسق Objectivec
- Php Formatter
- منسق Proto
- منسق Python
- منسق Ruby
- منسق Rust
- منسق Scala
- منسق سكريبت Shell
- منسق SQL
- منسق SVG
- منسق Swift
- منسق TOML
- Typescript Formatter
- منسق XML
- منسق YAML
- منسق Yarn
- مختصر CSS
- Html Minifier
- Javascript Minifier
- مختصر JSON
- مصغر XML
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- عارض رؤوس HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Txt Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF إلى نص
- مختبر Regex
- مدقق ترتيب SERP
- بحث Whois