بررسیکننده هدرهای امنیتی
یک URL را برای هدرهای امنیتی مفقود یا پرریسک (CSP، HSTS، X-Frame-Options، X-Content-Type-Options، Referrer-Policy، Permissions-Policy، COOP/COEP/CORP) بررسی کنید و پرچمهای کوکی (Secure، HttpOnly، SameSite) را تحلیل کنید. به مقصد نهایی هدایت شوید، گزارشهای JSON/PDF را صادر کنید و توصیههای عملی سختسازی را دریافت کنید.
ویژگیها
- هدایتها را دنبال کنید تا مقصد نهایی HTTPS ممیزی شود (توصیهشده برای استقرارهای دنیای واقعی).
- هدرهای سختسازی الزامی را بررسی میکند: Content-Security-Policy، Strict-Transport-Security، X-Content-Type-Options، X-Frame-Options، Referrer-Policy، Permissions-Policy.
- هدرهای مدرن توصیهشده را بررسی میکند: COOP، COEP، CORP، Origin-Agent-Cluster و سیگنالهای سختسازی اضافی در صورت وجود.
- تحلیل کوکی برای پرچمهای Set-Cookie: Secure، HttpOnly، SameSite؛ درباره SameSite=None بدون Secure هشدار میدهد.
- تحلیل CSP: unsafe-inline، unsafe-eval، منابع عمومی، دستورالعملهای دفاعی مفقود (default-src، object-src، base-uri، frame-ancestors) و نکات گزارش-فقط را برجسته میکند.
- هدرهای منسوخ یا پرریسک (مانند X-XSS-Protection) و هدرهای افشای اطلاعات (مانند Server، X-Powered-By) را علامتگذاری میکند.
- یافتههای قابل کپی/اشتراکگذاری برای بررسیهای امنیتی، گزارشهای تست نفوذ یا تیکتهای باگ.
- گزارشها را به صورت JSON یا PDF برای ممیزیها، شواهد انطباق و ردیابی بازگشت دانلود کنید.
🧭 نحوه استفاده for security-headers-checker
URL مورد نظر برای ممیزی را جایگذاری کنید
URL کامل را وارد کنید (ترجیحاً https://…). ابزار هدرهای پاسخ بازگردانده شده توسط آن نقطه پایانی را ارزیابی میکند.
«دنبال کردن هدایتها» را فعال کنید (توصیه میشود)
بسیاری از سایتها http→https و non-www→www (یا برعکس) را هدایت میکنند. دنبال کردن هدایتها، مقصد نهاییای که کاربران و رباتها در واقع به آن میرسند را ممیزی میکند.
انتخاب کنید که آیا هدرهای خام نمایش داده شوند
اگر خطوط هدر اصلی را برای اشکالزدایی میخواهید (عالی برای CDNها، پروکسیهای معکوس و پیشفرضهای چارچوب)، «نمایش هدرهای خام» را فعال کنید.
یافتهها را مرور و اصلاحات را اولویتبندی کنید
ابتدا بر امنیت انتقال (HSTS)، ضد XSS (CSP)، محافظت از کلیکجکینگ (محافظتهای قاب)، پرچمهای کوکی و جداسازی مبدأ متقاطع (COOP/COEP/CORP) در صورت لزوم تمرکز کنید.
برای ردیابی، یک گزارش صادر کنید
JSON/PDF را برای پیوست به تیکتها، مقایسه تغییرات در طول زمان یا افزودن بررسیها به CI برای بازگشتها دانلود کنید.
مشخصات فنی
این ابزار چه چیزی را بررسی میکند
بررسیکننده بر هدرهای پاسخ مدرن و پرتأثیر و ویژگیهای کوکی مورد استفاده برای کنترلهای امنیتی اجراشده توسط مرورگر متمرکز است.
| حوزه | سیگنالهای بررسیشده | چرا اهمیت دارد |
|---|---|---|
| امنیت انتقال | Strict-Transport-Security (HSTS) | HTTPS را اجباری کرده و از حملات SSL stripping در بازدیدهای بعدی جلوگیری میکند. |
| کاهش XSS | Content-Security-Policy (CSP) + مشکلات رایج | منابع اسکریپت/استایل را محدود کرده و در صورت پیکربندی صحیح، تأثیر XSS را کاهش میدهد. |
| کلیکربایی | X-Frame-Options و/یا CSP frame-ancestors | از قاببندی صفحات شما توسط منابع دیگر جلوگیری میکند. |
| شناسایی MIME | X-Content-Type-Options: nosniff | مرورگرها را از حدس زدن انواع محتوا به روشهای خطرناک بازمیدارد. |
| نشت ارجاعدهنده | Referrer-Policy | میزان اطلاعات ارجاعدهنده ارسالی به سایتهای دیگر را کنترل میکند. |
| کنترل مجوزها | Permissions-Policy | ویژگیهای قدرتمند (دوربین، میکروفون، موقعیتیابی و غیره) را در سطح مرورگر محدود میکند. |
| ایزولهسازی بین منبعی | COOP / COEP / CORP (و مرتبط) | برای ایزولهسازی امنیتی پیشرفته و برخی APIهای پرکارایی مورد نیاز است. |
| کوکیها | پرچمهای Set-Cookie: Secure, HttpOnly, SameSite | در صورت پیکربندی صحیح، خطر سرقت نشست را کاهش داده و CSRF را کاهش میدهد. |
| خطرناک/منسوخ | X-XSS-Protection, Server, X-Powered-By (در صورت وجود) | کنترلهای منسوخ یا نشت اطلاعاتی که میتواند به مهاجمان کمک کند. |
رفتار و محدودیتهای درخواست
بررسی در سمت سرور اجرا میشود و میتواند تغییرمسیرها را دنبال کند تا با رفتار واقعی پیمایش مطابقت داشته باشد.
| تنظیم | رفتار | پیشفرض |
|---|---|---|
| دنبال کردن تغییرمسیرها | تا تعداد محدودی تغییرمسیر را دنبال میکند | فعال |
| حداکثر تغییرمسیرها | حداکثر تغییرمسیرها در صورت فعال بودن دنبال کردن | 10 |
| زمانبندی | زمانسنج درخواست | ۱۵۰۰۰ میلیثانیه |
| کاربر-عامل | هدر شناسایی درخواست | Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com)) |
| شبکههای خصوصی | اهداف شبکه خصوصی را مسدود میکند | مجاز نیست |
تفسیر صحیح نتایج
یک اسکن هدر «گذرنده» با «امن» یکسان نیست. هدرها یک لایه هستند. هدف کاهش دامنه آسیب کلاسهای رایج مشکلات و اعمال پیشفرضهای امنتر مرورگر است.
خط فرمان
از curl برای تکرار آنچه بررسیکننده انجام میدهد و اعتبارسنجی سریع هدرها در طول اشکالزدایی یا CI استفاده کنید.
مکاواس / لینوکس
دریافت هدرهای پاسخ
curl -I [https://example.com](https://example.com)هدرهای سطح بالای بازگشتی از نقطه پایانی را نشان میدهد.
دنبال کردن تغییر مسیرها و نمایش هدرها
curl -IL [https://example.com](https://example.com)برای تأیید هدرهای مقصد نهایی پس از تغییر مسیرها مفید است.
بررسی خطوط Set-Cookie
curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'به تأیید ویژگیهای Secure/HttpOnly/SameSite کمک میکند.
ویندوز (PowerShell)
دریافت هدرهای پاسخ
(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headersهدرهای بازگشتی را در PowerShell چاپ میکند.
موارد استفاده
خط پایه سختسازی امنیتی برای یک برنامه وب
ایجاد یک خط پایه حداقلی برای هدرها و شناسایی هدرهای مفقود پس از استقرارها، تغییرات پروکسی/CDN یا ارتقای چارچوب.
- تأیید حضور HSTS در HTTPS تولید
- اطمینان از فعال بودن محافظتهای کلیکجکینگ برای صفحات احراز هویت شده
بررسی ایمنی کوکی و نشست
اعتبارسنجی اینکه کوکیهای نشست با Secure/HttpOnly/SameSite ارسال میشوند و شناسایی پیکربندیهای اشتباه رایج.
- شناسایی SameSite=None بدون Secure
- تأیید تنظیم HttpOnly روی نشانههای نشست
کیفیت CSP و کاهش خطر XSS
شناسایی الگوهای پرریسک CSP و اولویتبندی اصلاحاتی که تأثیر XSS را به طور ملموس کاهش میدهند.
- حذف unsafe-inline و اتخاذ استراتژی nonce/hash
- افزودن frame-ancestors و base-uri برای پیشفرضهای قویتر
بررسیهای بازگشتی CDN / پروکسی معکوس
تشخیص زمانی که CDN، متعادلکننده بار یا پروکسی هدرها را حذف یا تکرار میکند.
- تأیید بقای هدرهای امنیتی پس از تغییرات Cloudflare/Varnish/Nginx
- اطمینان از عدم حذف HSTS در مقصد نهایی توسط تغییرمسیرها
❓ Frequently Asked Questions
❓چرا هدرهای امنیتی مهم هستند؟
❓آیا باید «دنبال کردن تغییرمسیرها» را فعال کنم؟
❓آیا CSP برای هر سایتی الزامی است؟
❓چرا X-XSS-Protection به عنوان منسوخ یا پرریسک علامتگذاری شده است؟
❓یک اشتباه رایج در HSTS چیست؟
HTTPS اما فراموش کردن ارائه مداوم HTTPS (یا عدم وجود آن در میزبان اصلی). اشتباه رایج دیگر افزودن دستورالعملهای پیشبارگذاری بدون برآورده کردن کامل الزامات پیشبارگذاری است.❓آیا هدرها به تنهایی میتوانند برنامه من را امن کنند؟
Pro Tips
هم HTML صفحه فرود و هم نقاط پایانی API خود را حسابرسی کنید. آنها اغلب میانافزارهای متفاوتی دارند و میتوانند به طور خاموش در پوشش هدرها واگرا شوند.
بررسی زنجیره تغییرمسیر را اجرا کنید: تأیید کنید که مقصد نهایی قویترین هدرها (به ویژه HSTS و CSP) را تنظیم میکند.
کوکیها را بخشی از محیط امنیتی خود در نظر بگیرید: Secure + HttpOnly + تنظیم مناسب SameSite باید پیشفرض شما برای کوکیهای نشست باشد.
برای CSP، اولویت را بر حذف unsafe-inline/unsafe-eval و استفاده از nonce یا hash بگذارید. این معمولاً بزرگترین دستاورد امنیتی عملی است.
از افشای جزئیات سرور خودداری کنید. هدرهای Server / X-Powered-By را تا حد امکان حذف یا کاهش دهید تا اثر انگشتگذاری کمتر شود.
یک آزمون بازگشت در CI اضافه کنید که در صورت ناپدید شدن هدرهای حیاتی، استقرارها را متوقف کند (تغییرات پروکسی/CDN بیشتر از آنچه انتظار میرود باعث این اتفاق میشوند).
Additional Resources
Other Tools
- زیباکننده CSS
- زیباکننده HTML
- زیباکننده JavaScript
- زیباکننده PHP
- انتخابگر رنگ
- استخراجکننده اسپرایت
- رمزگذار باینری Base32
- رمزگشای Base32
- رمزگذار Base32
- رمزگذار باینری Base58
- رمزگشای Base58
- رمزگذار Base58
- رمزگذار باینری Base62
- رمزگشای Base62
- رمزگذار Base62
- رمزگذار باینری Base64
- دیکودر Base64
- انکودر Base64
- رمزگذار باینری هگز
- رمزگشای هگز
- رمزگذار هگز
- فرمتدهنده C#
- فرمتدهنده CSV
- Dockerfile Formatter
- فرمتدهنده Elm
- فرمتدهنده ENV
- فرمتدهنده Go
- فرمتدهنده GraphQL
- فرمتدهنده HCL
- فرمتدهنده INI
- فرمتدهنده JSON
- فرمتدهنده LaTeX
- فرمتدهنده Markdown
- فرمتدهنده Objective-C
- Php Formatter
- فرمتدهنده Proto
- فرمتدهنده Python
- فرمتدهنده Ruby
- فرمتدهنده Rust
- فرمتدهنده Scala
- فرمتدهنده اسکریپت شل
- فرمتدهنده SQL
- قالببندی SVG
- قالببندی Swift
- قالببندی TOML
- Typescript Formatter
- قالببندی XML
- قالببندی YAML
- قالببندی Yarn
- کوچککننده CSS
- Html Minifier
- Javascript Minifier
- کوچککننده JSON
- کوچککننده XML
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- نمایشگر هدرهای HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Txt Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF به متن
- تستکننده Regex
- بررسیکننده رتبه SERP
- جستجوی Whois