بررسیکننده security.txt
🔍 هدرهای پاسخ HTTP را برای هر آدرس عمومی بازرسی کنید و بینشهای فوری امنیتی، عملکردی و سئو دریافت کنید. CSP، HSTS، کوکیها، CORS، کش و رفتار تغییرمسیر را در یک نگاه ببینید – بدون نیاز به ورود، کلید API یا نصب.
این ابزار هدرهای HTTP چه کاری میتواند انجام دهد
- هدرها را در گروههای امنیت، عملکرد، سئو، منسوخشده و سایر گروهها دستهبندی میکند تا اسکن سریعتر انجام شود
- امتیازات ساده برای هدرهای کلی، امنیتی، عملکردی و سئو محاسبه میکند تا وضعیت شما را در یک نگاه نشان دهد
- هدرهای امنیتی مانند CSP، HSTS، Referrer-Policy، X-Frame-Options، COOP/COEP/CORP و Origin-Agent-Cluster را برجسته میکند
- پرچمهای Set-Cookie را تحلیل میکند تا ویژگیهای Secure، HttpOnly یا SameSite مفقود شده را شناسایی کند
- هدرهای منسوخ یا پرخطر مانند X-XSS-Protection، X-Powered-By و بنرهای Server که جزئیات پیادهسازی را فاش میکنند، شناسایی میکند
- به تنظیم هدرهای عملکردی مانند Cache-Control، Content-Encoding، ETag، Last-Modified و Server-Timing کمک میکند
- هدرهای مرتبط با سئو مانند Link (canonical/alternate) و X-Robots-Tag، به علاوه Content-Language را در صورت وجود نشان میدهد
- بدون حساب کاربری، بدون کلید API – فقط یک URL عمومی وارد کنید، هدرها را بازرسی کنید و روی پیکربندی خود تکرار کنید
🛠️ نحوه استفاده از نمایشگر هدرهای HTTP for security-txt-checker
۱. وارد کردن آدرس
🔗 هر آدرس معتبر HTTP یا HTTPS را در فیلد ورودی قرار دهید. نقاط پایانی عمومی یا APIهای در معرض عموم بهترین عملکرد را دارند.
۲. دریافت هدرها
🌐 بکاند درخواستی به آدرس ارسال کرده و هدرهای پاسخ را جمعآوری میکند و در صورت امکان، تغییر مسیرها را دنبال میکند. فقط هدرها و فرادادههای پایه بررسی میشوند – نه کل بدنه HTML.
۳. بررسی دستهبندیها و امتیازات
🧠 هدرها در دستههای امنیت، عملکرد، سئو، کوکیها، منسوخشده و سایر گروهها طبقهبندی میشوند. ابزار امتیازات، مشکلات، هشدارها و توصیهها را از پیکربندی هدرهای شما استخراج میکند.
۴. رفع مشکل و آزمایش مجدد
🔁 پیکربندی سرور، CDN یا پروکسی معکوس خود را تنظیم کنید، سپس بررسی را مجدداً اجرا کنید تا امتیازات و هشدارها با اهداف شما مطابقت پیدا کنند. از آن به عنوان یک حلقه بازخورد سریع هر زمان که زیرساخت را تغییر میدهید استفاده کنید.
جزئیات فنی
مدیریت درخواست و پاسخ
این ابزار بر روی هدرهای پاسخ و فرادادههای اتصال پایه تمرکز دارد، نه محتوای کامل صفحه.
| جنبه | رفتار | ملاحظات |
|---|---|---|
| روش HTTP | HEAD یا GET (وابسته به پیادهسازی) | فقط هدرها بررسی میشوند؛ بدنهها نادیده گرفته میشوند مگر اینکه نیاز به بازگشت به GET باشد. |
| تغییر مسیرها | زنجیره تغییر مسیر در صورت موجود بودن ثبت میشود | برای اشکالزدایی زنجیرههای ۳۰۱/۳۰۲، اهداف متعارف و پرشهای پیکربندینشده مفید است. |
| نسخه HTTP | در صورت ارائه، ضبط میشود | به شناسایی تنظیمات HTTP/1.1 در مقابل HTTP/2/3 و فرصتهای ارتقای بالقوه کمک میکند. |
| بنر سرور | از هدر Server خوانده میشود | برای هشدار درباره نشت احتمالی اطلاعات (چارچوب، نسخه) استفاده میشود. |
| مدیریت خطا | فیلد خطا به صورت جداگانه نمایش داده میشود | اگر دریافت با شکست مواجه شود، به جای خرابی، یک وضعیت خطای قابل خواندن دریافت خواهید کرد. |
طبقهبندی و تحلیل هدر
هدرها نرمالسازی شده، سپس در سطلهای نوعبندی شده با بررسیها و راهنماییهای اختصاصی تحلیل میشوند.
| دسته | هدرهای معمول | بررسیها و بینشها |
|---|---|---|
| امنیت | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | وجود را تأیید میکند، دستورالعملهای ضعیف یا مفقود را علامتگذاری میکند، الگوهای ناامن CSP و مبدأهای توسعه را تشخیص میدهد. |
| کارایی | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | نشانههای کش، فشردهسازی، پشتیبانی از محدوده بایت و هدرهای Link مرتبط با کارایی را بررسی میکند. |
| سئو | Link (canonical/alternate), X-Robots-Tag, Content-Language | نشانههای متعارف/جایگزین و دستورالعملهای ربات در سطح هدر، به علاوه ابرداده زبان در صورت وجود را تشخیص میدهد. |
| کوکیها | Set-Cookie | برای ویژگیهای Secure، HttpOnly، SameSite جستجو میکند و هنگامی که پرچمها مفقود یا ضعیف به نظر میرسند هشدار میدهد. |
| منسوخشده | X-XSS-Protection, Public-Key-Pins, انواع قدیمی CSP | هدرهایی را که باید حذف یا با جایگزینهای مدرن جایگزین شوند، علامتگذاری میکند. |
مدل امتیازدهی
امتیازها اکتشافی هستند، نه یک ممیزی امنیتی کامل، اما به اولویتبندی کار و مقایسه محیطها کمک میکنند.
| امتیاز | چه چیزی را اندازهگیری میکند | چگونه محاسبه میشود |
|---|---|---|
| امتیاز کلی | بهداشت عمومی هدر | نسبت در تمام هدرهای وزندار – عمدتاً مبتنی بر حضور با وزندهی ملایم. |
| امتیاز امنیتی | سختسازی مرتبط با امنیت | CSP، HSTS، کنترل قاببندی، Referrer-Policy، Permissions-Policy، COOP/COEP/CORP و Origin-Agent-Cluster را وزندهی میکند. |
| امتیاز کارایی | کارایی کش و انتقال | Cache-Control، Content-Encoding، ETag، Last-Modified، Accept-Ranges، Server-Timing و استفاده از Link مرتبط با کارایی را وزندهی میکند. |
| امتیاز سئو | سیگنالهای سئو در سطح هدر | X-Robots-Tag، هدرهای Link متعارف/جایگزین و Content-Language را در صورت وجود وزندهی میکند. |
جایگزینهای CLI برای بازرسی هدر
ترجیح میدهید از ترمینال استفاده کنید یا بررسیهای هدر را در CI/CD ادغام کنید؟ از این دستورات به عنوان همراهان محلی این ابزار استفاده کنید:
لینوکس/macOS
مشاهده هدرهای پاسخ با استفاده از curl
curl -I https://example.comیک درخواست HEAD ارسال میکند و هدرهای پاسخ را برای بررسی سریع سلامت چاپ میکند.
خروجی مفصل با هدرها و مذاکره TLS
curl -v https://example.comبرای اشکالزدایی تغییرمسیرها، پیکربندی TLS و جزئیات اتصال مفید است.
ویندوز (PowerShell)
دریافت و بررسی هدرها با Invoke-WebRequest
(Invoke-WebRequest -Uri https://example.com).Headersهدرها را به عنوان یک شیء PowerShell نمایش میدهد که برای فیلتر یا اسکریپتنویسی بیشتر آماده است.
کاربردهای عملی
بررسی هدرهای امنیتی
- بررسی عدم وجود هدرهای CSP، HSTS، Referrer-Policy یا Permissions-Policy در نقاط پایانی کلیدی.
- شناسایی دستورات ناامن CSP مانند 'unsafe-inline' بدون nonce یا hash.
- شناسایی کوکیهای فاقد ویژگیهای Secure یا SameSite و برنامهریزی برای رفع آنها برای تقویت جلسه.
تشخیص عملکرد و کش
- بررسی پیکربندی Cache-Control، ETag و Content-Encoding در مسیرهای استاتیک و پویا.
- تأیید وجود نشانههای عملکرد مانند هدرهای Link از نوع preload یا preconnect از CDN شما.
- مقایسه هدرهای مرتبط با عملکرد بین محیطهای آزمایشی، پیشنمایش و تولید.
تحلیل SEO و زنجیره تغییرمسیر
- بررسی زنجیرههای تغییرمسیر ۳۰۱/۳۰۲ و تأیید اینکه URL نهایی، متعارف و ایمن است.
- بررسی هدرهای Link از نوع canonical و alternate در صفحات HTML یا نسخههای محلیشده.
- اعتبارسنجی دستورات X-Robots-Tag برای نمایهسازی، رفتار snippet و مدیریت رسانه.
❓ Frequently Asked Questions
❓هدرهای پاسخ HTTP چیستند و چرا مهم هستند؟
HTTP جفتهای کلید-مقداری هستند که توسط سرور قبل از بدنه ارسال میشوند. آنها کش، سیاستهای امنیتی، تغییرمسیرها، CORS، کوکیها و نحوه تفسیر سایت شما توسط مرورگرها و خزندهها را کنترل میکنند. تنظیم صحیح آنها برای امنیت، عملکرد و سئو حیاتی است.🔒آیا URLهایی که آزمایش میکنم جایی ذخیره میشوند؟
🧪آیا میتوانم از این برای بررسی پاسخهای API استفاده کنم؟
API از سروری که درخواست را انجام میدهد، به صورت عمومی قابل دسترسی باشد. این به ویژه برای بررسی هدرهای CORS، نشانههای محدودیت نرخ، رفتار کش و انواع محتوا در APIهای JSON یا XML مفید است.🕵️♂️آیا برای صفحات پشت احراز هویت کار میکند؟
📈آیا امتیاز، یک ممیزی امنیتی کامل است؟
Pro Tips
هدرها را بین محیطهای استیجینگ، پیشنمایش و تولید مقایسه کنید تا سختافزاری امنیتی یا قوانین کشگذاری گمشده در یک محیط را شناسایی کنید.
هدرهای Server و X-Powered-By را به عنوان نشت اطلاعات در نظر بگیرید – در محیط تولید تا حد امکان آنها را حذف یا به حداقل برسانید.
ابتدا Cache-Control و Content-Encoding را برای داراییهای استاتیک تنظیم کنید – اغلب بیشترین سود عملکردی را با حداقل ریسک ارائه میدهند.
پس از هر تغییر عمده در زیرساخت (CDN، پروکسی معکوس، تخلیه TLS، هاست جدید) این ابزار را اجرا کنید تا تأیید کنید هدرها همچنان صحیح به نظر میرسند.
Additional Resources
Other Tools
- زیباکننده CSS
- زیباکننده HTML
- زیباکننده JavaScript
- زیباکننده PHP
- انتخابگر رنگ
- استخراجکننده اسپرایت
- رمزگذار باینری Base32
- رمزگشای Base32
- رمزگذار Base32
- رمزگذار باینری Base58
- رمزگشای Base58
- رمزگذار Base58
- رمزگذار باینری Base62
- رمزگشای Base62
- رمزگذار Base62
- رمزگذار باینری Base64
- دیکودر Base64
- انکودر Base64
- رمزگذار باینری هگز
- رمزگشای هگز
- رمزگذار هگز
- فرمتدهنده C#
- فرمتدهنده CSV
- Dockerfile Formatter
- فرمتدهنده Elm
- فرمتدهنده ENV
- فرمتدهنده Go
- فرمتدهنده GraphQL
- فرمتدهنده HCL
- فرمتدهنده INI
- فرمتدهنده JSON
- فرمتدهنده LaTeX
- فرمتدهنده Markdown
- فرمتدهنده Objective-C
- Php Formatter
- فرمتدهنده Proto
- فرمتدهنده Python
- فرمتدهنده Ruby
- فرمتدهنده Rust
- فرمتدهنده Scala
- فرمتدهنده اسکریپت شل
- فرمتدهنده SQL
- قالببندی SVG
- قالببندی Swift
- قالببندی TOML
- Typescript Formatter
- قالببندی XML
- قالببندی YAML
- قالببندی Yarn
- کوچککننده CSS
- Html Minifier
- Javascript Minifier
- کوچککننده JSON
- کوچککننده XML
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- نمایشگر هدرهای HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF به متن
- تستکننده Regex
- بررسیکننده رتبه SERP
- جستجوی Whois