نمایشگر هدرهای HTTP
این ابزار هدرهای HTTP چه کاری میتواند انجام دهد
- هدرها را در گروههای امنیت، عملکرد، سئو، منسوخ و دیگران دستهبندی میکند برای اسکن سریعتر
- امتیازات ساده برای هدرهای کلی، امنیتی، عملکردی و سئو محاسبه میکند تا وضعیت شما را در یک نگاه نشان دهد
- هدرهای امنیتی مانند CSP، HSTS، Referrer-Policy، X-Frame-Options، COOP/COEP/CORP و Origin-Agent-Cluster را برجسته میکند
- پرچمهای Set-Cookie را تحلیل میکند تا ویژگیهای Secure، HttpOnly یا SameSite مفقود شده را شناسایی کند
- هدرهای منسوخ یا پرخطر مانند X-XSS-Protection، X-Powered-By و بنرهای Server که جزئیات پیادهسازی را فاش میکنند را تشخیص میدهد
- به تنظیم هدرهای عملکردی مانند Cache-Control، Content-Encoding، ETag، Last-Modified و Server-Timing کمک میکند
- هدرهای مرتبط با سئو مانند Link (canonical/alternate) و X-Robots-Tag، به علاوه Content-Language در صورت وجود را نشان میدهد
- بدون حساب کاربری، بدون کلید API – فقط یک URL عمومی وارد کنید، هدرها را بازرسی کنید و روی پیکربندی خود تکرار کنید
🛠️ نحوه استفاده از نمایشگر هدرهای HTTP for http-headers-viewer
1. وارد کردن آدرس
🔗 هر آدرس معتبر HTTP یا HTTPS را در فیلد ورودی قرار دهید. نقاط پایانی عمومی یا APIهای در معرض عموم بهترین عملکرد را دارند.
2. دریافت هدرها
🌐 بکاند درخواست آدرس را ارسال کرده و هدرهای پاسخ را جمعآوری میکند و در صورت امکان، تغییر مسیرها را دنبال میکند. فقط هدرها و فرادادههای پایین بررسی میشوند – نه کل بدنه HTML.
3. بررسی دستهبندیها و امتیازها
🧠 هدرها در گروههای امنیتی، عملکرد، سئو، کوکیها، منسوخشده و سایر دستهها قرار میگیرند. ابزار امتیازها، مشکلات، هشدارها و توصیهها را از پیکربندی هدر شما استخراج میکند.
4. رفع و آزمایش مجدد
🔁 پیکربندی سرور، CDN یا پروکسی معکوس خود را تنظیم کنید، سپس بررسی را دوباره اجرا کنید تا امتیازها و هشدارها با اهداف شما مطابقت کنند. از آن به عنوان یک حلقه بازخورد سریع هر زمان که زیرساخت را تغییر میدهید استفاده کنید.
جزئیات فنی
مدیریت درخواست و پاسخ
این ابزار بر روی هدرهای پاسخ و فرادادههای اتصال پایه تمرکز دارد نه محتوای کامل صفحه.
| جنبه | رفتار | یادداشتها |
|---|---|---|
| روش HTTP | HEAD یا GET (وابسته به پیادهسازی) | فقط هدرها بررسی میشوند؛ بدنهها نادیده گرفته میشوند مگر اینکه نیاز به بازگشت به GET باشد. |
| تغییر مسیرها | زنجیره تغییر مسیر در صورت موجود بودن ثبت میشود | مفید برای اشکالزدایی زنجیرههای 301/302، اهداف متعارف و پرشهای پیکربندینشده. |
| نسخه HTTP | در صورت ارائه، ضبط میشود | به شناسایی تنظیمات HTTP/1.1 در مقابل HTTP/2/3 و فرصتهای ارتقای بالقوه کمک میکند. |
| بنر سرور | از هدر Server خوانده میشود | برای هشدار درباره نشت احتمالی اطلاعات (چارچوب، نسخه) استفاده میشود. |
| مدیریت خطا | فیلد خطا به طور جداگانه نمایش داده میشود | اگر دریافت با شکست مواجه شود، شما همچنان یک وضعیت خطای قابل خواندن دریافت میکنید به جای خرابی. |
طبقهبندی و تحلیل هدرها
هدرها نرمالسازی شده، سپس در دستههای نوعبندی شده با بررسیها و راهنماییهای اختصاصی تحلیل میشوند.
| دسته | هدرهای معمول | بررسیها و بینشها |
|---|---|---|
| امنیت | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | وجود را تأیید میکند، دستورالعملهای ضعیف یا مفقود را علامتگذاری میکند، الگوهای ناامن CSP و مبدأهای توسعه را تشخیص میدهد. |
| عملکرد | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | نشانههای کش، فشردهسازی، پشتیبانی از محدوده بایت و هدرهای Link مرتبط با عملکرد را بررسی میکند. |
| سئو | Link (canonical/alternate), X-Robots-Tag, Content-Language | نشانههای متعارف/جایگزین و دستورالعملهای ربات در سطح هدر و همچنین فراداده زبان را در صورت وجود تشخیص میدهد. |
| کوکیها | Set-Cookie | ویژگیهای Secure، HttpOnly، SameSite را اسکن میکند و در صورت عدم وجود یا ضعف پرچمها هشدار میدهد. |
| منسوخشده | X-XSS-Protection, Public-Key-Pins, انواع قدیمی CSP | هدرهایی را که باید حذف یا با جایگزینهای مدرن جایگزین شوند، علامتگذاری میکند. |
مدل امتیازدهی
امتیازها اکتشافی هستند، نه یک ممیزی امنیتی کامل، اما به اولویتبندی کار و مقایسه محیطها کمک میکنند.
| امتیاز | چه چیزی را اندازهگیری میکند | چگونه محاسبه میشود |
|---|---|---|
| امتیاز کلی | بهداشت عمومی هدرها | نسبت در تمام هدرهای وزندار – عمدتاً مبتنی بر حضور با وزندهی ملایم. |
| امتیاز امنیتی | سختسازی مرتبط با امنیت | CSP، HSTS، کنترل قاببندی، Referrer-Policy، Permissions-Policy، COOP/COEP/CORP و Origin-Agent-Cluster را وزندهی میکند. |
| امتیاز عملکرد | کارایی کش و انتقال | Cache-Control، Content-Encoding، ETag، Last-Modified، Accept-Ranges، Server-Timing و استفاده از Link مرتبط با عملکرد را وزندهی میکند. |
| امتیاز سئو | سیگنالهای سئو در سطح هدر | X-Robots-Tag، هدرهای Link متعارف/جایگزین و Content-Language را در صورت وجود وزندهی میکند. |
جایگزینهای CLI برای بازرسی هدر
ترجیح میدهید از ترمینال استفاده کنید یا بررسی هدرها را در CI/CD ادغام کنید؟ از این دستورات به عنوان همراهان محلی این ابزار استفاده کنید:
لینوکس/مک
مشاهده هدرهای پاسخ با استفاده از curl
curl -I https://example.comیک درخواست HEAD ارسال میکند و هدرهای پاسخ را برای بررسی سریع چاپ میکند.
خروجی مفصل با هدرها و مذاکره TLS
curl -v https://example.comمفید برای اشکالزدایی تغییر مسیرها، پیکربندی TLS و جزئیات اتصال.
ویندوز (PowerShell)
دریافت و بررسی هدرها با Invoke-WebRequest
(Invoke-WebRequest -Uri https://example.com).Headersهدرها را به عنوان یک شیء PowerShell نمایش میدهد که برای فیلتر کردن یا اسکریپتنویسی بیشتر آماده است.
کاربردهای عملی
بررسی هدرهای امنیتی
- بررسی عدم وجود هدرهای CSP، HSTS، Referrer-Policy یا Permissions-Policy در نقاط پایانی کلیدی.
- شناسایی دستورات ناامن CSP مانند 'unsafe-inline' بدون nonce یا hash.
- شناسایی کوکیهای فاقد ویژگیهای Secure یا SameSite و برنامهریزی برای رفع آنها برای تقویت جلسه.
تشخیص عملکرد و کش
- بررسی پیکربندی Cache-Control، ETag و Content-Encoding در مسیرهای استاتیک و دینامیک.
- تأیید وجود نشانههای عملکرد مانند هدرهای Link پیشبارگذاری یا پیشاتصال از CDN شما.
- مقایسه هدرهای مرتبط با عملکرد بین محیطهای staging، preview و production.
تحلیل SEO و زنجیره تغییر مسیر
- بررسی زنجیرههای تغییر مسیر 301/302 و تأیید نهایی بودن URL مقصد و امن بودن آن.
- بررسی هدرهای Link اصلی و جایگزین در صفحات HTML یا نسخههای محلیشده.
- اعتبارسنجی دستورات X-Robots-Tag برای نمایهسازی، رفتار snippet و مدیریت رسانه.
❓ Frequently Asked Questions
❓هدرهای پاسخ HTTP چیستند و چرا مهم هستند؟
HTTP جفتهای کلید-مقداری هستند که توسط سرور قبل از بدنه ارسال میشوند. آنها کش، سیاستهای امنیتی، تغییر مسیرها، CORS، کوکیها و نحوه تفسیر سایت توسط مرورگرها و خزندهها را کنترل میکنند. تنظیم صحیح آنها برای امنیت، عملکرد و سئو حیاتی است.🔒آیا URLهایی که آزمایش میکنم جایی ذخیره میشوند؟
🧪آیا میتوانم از این برای بررسی پاسخهای API استفاده کنم؟
API از سروری که درخواست را انجام میدهد، قابل دسترسی عمومی باشد. این به ویژه برای بررسی هدرهای CORS، نشانههای محدودیت نرخ، رفتار کش و انواع محتوا در APIهای JSON یا XML مفید است.🕵️♂️آیا برای صفحات پشت احراز هویت کار میکند؟
📈آیا امتیاز، یک ممیزی امنیتی کامل است؟
Pro Tips
هدرها را بین محیطهای استیج، پیشنمایش و تولید مقایسه کنید تا سختافزاری امنیتی یا قوانین کش مفقود شده در یک محیط را شناسایی کنید.
هدرهای Server و X-Powered-By را به عنوان نشت اطلاعات در نظر بگیرید – در محیط تولید تا حد امکان آنها را حذف یا به حداقل برسانید.
ابتدا Cache-Control و Content-Encoding را برای منابع استاتیک تنظیم کنید – اغلب بیشترین سود عملکردی را با حداقل ریسک ارائه میدهند.
پس از هر تغییر عمده در زیرساخت (CDN، پراکسی معکوس، تخلیه TLS، هاست جدید) این ابزار را اجرا کنید تا از صحت هدرها اطمینان حاصل کنید.
Additional Resources
Other Tools
- زیباکننده CSS
- زیباکننده HTML
- زیباکننده JavaScript
- زیباکننده PHP
- انتخابگر رنگ
- استخراجکننده اسپرایت
- دیکودر Base64
- انکودر Base64
- فرمتدهنده C#
- فرمتدهنده CSV
- Dockerfile Formatter
- فرمتدهنده Elm
- فرمتدهنده ENV
- فرمتدهنده Go
- فرمتدهنده GraphQL
- فرمتدهنده HCL
- فرمتدهنده INI
- فرمتدهنده JSON
- فرمتدهنده LaTeX
- فرمتدهنده Markdown
- فرمتدهنده Objective-C
- Php Formatter
- فرمتدهنده Proto
- فرمتدهنده Python
- فرمتدهنده Ruby
- فرمتدهنده Rust
- فرمتدهنده Scala
- فرمتدهنده اسکریپت شل
- فرمتدهنده SQL
- قالببندی SVG
- قالببندی Swift
- قالببندی TOML
- Typescript Formatter
- قالببندی XML
- قالببندی YAML
- قالببندی Yarn
- کوچککننده CSS
- Html Minifier
- Javascript Minifier
- کوچککننده JSON
- کوچککننده XML
- PDF به متن
- تستکننده Regex
- بررسیکننده رتبه SERP
- جستجوی Whois