सुरक्षा हेडर चेकर

किसी URL में गुम या जोखिम भरे सुरक्षा हेडर (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) की जाँच करें और कुकी फ्लैग्स (Secure, HttpOnly, SameSite) का विश्लेषण करें। अंतिम गंतव्य तक रीडायरेक्ट का पालन करें, JSON/PDF रिपोर्ट निर्यात करें और कार्रवाई योग्य हार्डनिंग सिफारिशें प्राप्त करें।

Loading…

के बारे में सुरक्षा हेडर चेकर

आधुनिक वेब सुरक्षा काफी हद तक HTTP प्रतिक्रिया हेडर द्वारा लागू की जाती है। यह टूल एक URL प्राप्त करता है (वैकल्पिक रूप से रीडायरेक्ट का पालन करते हुए) और उन प्रमुख हार्डनिंग हेडर का ऑडिट करता है जो XSS, क्लिकजैकिंग, MIME स्निफिंग, असुरक्षित ट्रांसपोर्ट और क्रॉस-ओरिजिन अलगाव के मुद्दों को कम करते हैं। यह Set-Cookie विशेषताओं की भी समीक्षा करता है ताकि Secure/HttpOnly/SameSite जैसी सामान्य कमियों, या Secure के बिना SameSite=None को पकड़ सके।

विशेषताएँ

  • अंतिम HTTPS गंतव्य के ऑडिट के लिए रीडायरेक्ट का पालन करें (वास्तविक दुनिया के तैनाती के लिए अनुशंसित)।
  • आवश्यक हार्डनिंग हेडर जाँचता है: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy।
  • अनुशंसित आधुनिक हेडर जाँचता है: COOP, COEP, CORP, Origin-Agent-Cluster, और अतिरिक्त हार्डनिंग संकेत जब मौजूद हों।
  • Set-Cookie फ्लैग्स के लिए कुकी विश्लेषण: Secure, HttpOnly, SameSite; Secure के बिना SameSite=None के बारे में चेतावनी देता है।
  • CSP विश्लेषण: unsafe-inline, unsafe-eval, वाइल्डकार्ड स्रोत, रक्षात्मक निर्देशों की कमी (default-src, object-src, base-uri, frame-ancestors), और रिपोर्ट-ओनली चेतावनियों को उजागर करता है।
  • पुराने या जोखिम भरे हेडर (जैसे, X-XSS-Protection) और सूचना रिसाव हेडर (जैसे, Server, X-Powered-By) को चिह्नित करता है।
  • सुरक्षा समीक्षाओं, पेंटेस्ट रिपोर्ट, या बग टिकटों के लिए कॉपी/शेयर करने योग्य निष्कर्ष।
  • ऑडिट, अनुपालन साक्ष्य और रिग्रेशन ट्रैकिंग के लिए JSON या PDF के रूप में रिपोर्ट डाउनलोड करें।

🧭 उपयोग कैसे करें for security-headers-checker

1

ऑडिट करने के लिए URL पेस्ट करें

पूरा URL दर्ज करें (अधिमानतः https://…)। टूल उस एंडपॉइंट द्वारा लौटाए गए प्रतिक्रिया हेडर का मूल्यांकन करता है।

2

“रीडायरेक्ट का पालन करें” सक्षम करें (अनुशंसित)

कई साइटें http→https और non-www→www (या इसके विपरीत) रीडायरेक्ट करती हैं। रीडायरेक्ट का पालन करने से उस अंतिम गंतव्य का ऑडिट होता है जहाँ उपयोगकर्ता और बॉट वास्तव में पहुँचते हैं।

3

चुनें कि कच्चे हेडर दिखाने हैं या नहीं

“कच्चे हेडर दिखाएँ” सक्षम करें यदि आप डिबगिंग के लिए मूल हेडर लाइनें चाहते हैं (CDN, रिवर्स प्रॉक्सी और फ्रेमवर्क डिफ़ॉल्ट के लिए बढ़िया)।

4

निष्कर्षों की समीक्षा करें और सुधारों को प्राथमिकता दें

पहले ट्रांसपोर्ट सुरक्षा (HSTS), एंटी-XSS (CSP), क्लिकजैकिंग (फ्रेम सुरक्षा), कुकी फ्लैग्स और क्रॉस-ओरिजिन अलगाव (COOP/COEP/CORP) पर ध्यान दें जहाँ लागू हो।

5

ट्रैकिंग के लिए एक रिपोर्ट निर्यात करें

टिकटों से जोड़ने, समय के साथ बदलावों की तुलना करने, या रिग्रेशन के लिए CI में जाँच जोड़ने के लिए JSON/PDF डाउनलोड करें।

तकनीकी विशिष्टताएँ

यह टूल क्या जाँचता है

चेकर आधुनिक, उच्च-प्रभाव वाले प्रतिक्रिया हेडर और ब्राउज़र-लागू सुरक्षा नियंत्रणों के लिए उपयोग की जाने वाली कुकी विशेषताओं पर केंद्रित है।

क्षेत्रजाँचे गए संकेतइसका महत्व क्यों है
परिवहन सुरक्षास्ट्रिक्ट-ट्रांसपोर्ट-सिक्योरिटी (एचएसटीएस)एचटीटीपीएस को बाध्य करता है और बाद के दौरों पर एसएसएल स्ट्रिपिंग को रोकने में मदद करता है।
एक्सएसएस शमनकंटेंट-सिक्योरिटी-पॉलिसी (सीएसपी) + सामान्य गलतियाँस्क्रिप्ट/स्टाइल स्रोतों को प्रतिबंधित करता है और सही कॉन्फ़िगरेशन पर एक्सएसएस प्रभाव को कम करता है।
क्लिकजैकिंगएक्स-फ्रेम-ऑप्शंस और/या सीएसपी फ्रेम-एन्सेस्टर्सआपके पृष्ठों को अन्य मूल स्रोतों द्वारा फ्रेम किए जाने से रोकता है।
एमआईएमई स्निफिंगएक्स-कंटेंट-टाइप-ऑप्शंस: नोस्निफब्राउज़रों को जोखिम भरे तरीकों से कंटेंट प्रकारों का अनुमान लगाने से रोकता है।
रेफरर लीकेजरेफरर-पॉलिसीनियंत्रित करता है कि अन्य साइटों पर कितनी रेफरर जानकारी भेजी जाती है।
अनुमति नियंत्रणपरमिशन-पॉलिसीब्राउज़र स्तर पर शक्तिशाली सुविधाओं (कैमरा, माइक, जियोलोकेशन, आदि) को प्रतिबंधित करता है।
क्रॉस-ओरिजिन आइसोलेशनसीओओपी / सीओईपी / सीओआरपी (और संबंधित)उन्नत सुरक्षा आइसोलेशन और कुछ उच्च-प्रदर्शन एपीआई के लिए आवश्यक है।
कुकीज़सेट-कुकी फ्लैग्स: सिक्योर, एचटीटीपीओनली, सेमसाइटसत्र चोरी के जोखिम को कम करता है और सही कॉन्फ़िगरेशन पर सीएसआरएफ को कम करता है।
जोखिम भरा/अप्रचलितएक्स-एक्सएसएस-प्रोटेक्शन, सर्वर, एक्स-पावर्ड-बाय (जब मौजूद)अप्रचलित नियंत्रण या सूचना लीकेज जो हमलावरों की सहायता कर सकती है।

अनुरोध व्यवहार और सीमाएँ

ऑडिट सर्वर-साइड चलता है और वास्तविक नेविगेशन व्यवहार से मेल खाने के लिए रीडायरेक्ट का पालन कर सकता है।

सेटिंगव्यवहारडिफ़ॉल्ट
रीडायरेक्ट का पालन करेंएक सीमित संख्या में रीडायरेक्ट का पालन करता हैसक्षम
अधिकतम रीडायरेक्टपालन सक्षम होने पर अधिकतम रीडायरेक्ट10
टाइमआउटअनुरोध समय समाप्ति15000 मिलीसेकंड
यूज़र-एजेंटअनुरोध पहचान हेडरEncode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
निजी नेटवर्कनिजी-नेटवर्क लक्ष्यों को ब्लॉक करता हैअनुमति नहीं है

परिणामों को सही ढंग से समझना

एक "पासिंग" हेडर स्कैन "सुरक्षित" के समान नहीं है। हेडर एक परत हैं। लक्ष्य सामान्य मुद्दों के ब्लास्ट रेडियस को कम करना और सुरक्षित ब्राउज़र डिफ़ॉल्ट लागू करना है।

इस रिपोर्ट को बेसलाइन हार्डनिंग चेकलिस्ट के रूप में उपयोग करें। फिर भी प्रमाणीकरण, अधिकार, इनपुट सत्यापन, निर्भरता कमजोरियों और सर्वर कॉन्फ़िगरेशन का ऑडिट करें।

कमांड लाइन

डीबगिंग या सीआई के दौरान हेडर को जल्दी से मान्य करने और चेकर क्या करता है उसे दोहराने के लिए कर्ल का उपयोग करें।

macOS / Linux

प्रतिक्रिया हेडर प्राप्त करें

curl -I [https://example.com](https://example.com)

एंडपॉइंट द्वारा लौटाए गए शीर्ष-स्तरीय हेडर दिखाता है।

रीडायरेक्ट का पालन करें और हेडर दिखाएं

curl -IL [https://example.com](https://example.com)

रीडायरेक्ट के बाद अंतिम गंतव्य हेडर की पुष्टि करने के लिए उपयोगी।

सेट-कुकी लाइनों का निरीक्षण करें

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

सुरक्षित/HttpOnly/SameSite विशेषताओं को सत्यापित करने में मदद करता है।

Windows (PowerShell)

प्रतिक्रिया हेडर प्राप्त करें

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

PowerShell में लौटाए गए हेडर प्रिंट करता है।

हमेशा अपने HTML पेज और महत्वपूर्ण API एंडपॉइंट दोनों का परीक्षण करें: उनमें अक्सर अलग-अलग मिडलवेयर स्टैक होते हैं और इसलिए अलग-अलग हेडर सेट होते हैं।

उपयोग के मामले

वेब ऐप के लिए सुरक्षा सख्ती बेसलाइन

एक न्यूनतम हेडर बेसलाइन स्थापित करें और डिप्लॉयमेंट, प्रॉक्सी/सीडीएन परिवर्तन, या फ्रेमवर्क अपग्रेड के बाद गायब हेडर पकड़ें।

  • सत्यापित करें कि उत्पादन HTTPS पर HSTS मौजूद है
  • सुनिश्चित करें कि प्रमाणित पृष्ठों के लिए क्लिकजैकिंग सुरक्षा सक्षम है

कुकी और सत्र सुरक्षा समीक्षा

सत्यापित करें कि सत्र कुकीज़ सुरक्षित/HttpOnly/SameSite के साथ भेजी जाती हैं और सामान्य गलत कॉन्फ़िगरेशन का पता लगाएं।

  • सुरक्षित के बिना SameSite=None पकड़ें
  • पुष्टि करें कि सत्र टोकन पर HttpOnly सेट है

सीएसपी गुणवत्ता और एक्सएसएस जोखिम कमी

उच्च-जोखिम वाले CSP पैटर्न की पहचान करें और ऐसे सुधारों को प्राथमिकता दें जो XSS प्रभाव को सार्थक रूप से कम करते हैं।

  • unsafe-inline हटाएं और nonce/hash रणनीति अपनाएं
  • मजबूत डिफ़ॉल्ट के लिए frame-ancestors और base-uri जोड़ें

CDN / रिवर्स प्रॉक्सी रिग्रेशन जाँच

पता लगाएं कि कब कोई CDN, लोड बैलेंसर, या प्रॉक्सी हेडर हटाता या डुप्लिकेट करता है।

  • सत्यापित करें कि सुरक्षा हेडर Cloudflare/Varnish/Nginx परिवर्तनों से बचे रहें
  • सुनिश्चित करें कि रीडायरेक्ट अंतिम गंतव्य पर HSTS को न हटाएं

❓ Frequently Asked Questions

सुरक्षा हेडर महत्वपूर्ण क्यों हैं?

वे ब्राउज़र-साइड सुरक्षा नियंत्रण लागू करते हैं जो XSS, क्लिकजैकिंग, और मिश्रित-सामग्री या डाउनग्रेड समस्याओं जैसे सामान्य वेब हमलों के प्रभाव को कम करते हैं। वे कुकीज़ और क्रॉस-ओरिजिन व्यवहार के लिए सुरक्षित डिफ़ॉल्ट भी सेट करते हैं।

क्या मुझे “फॉलो रीडायरेक्ट्स” सक्षम करना चाहिए?

आमतौर पर हाँ। वास्तविक उपयोगकर्ता और क्रॉलर रीडायरेक्ट के बाद अंतिम URL पर पहुँचते हैं, और वहीं प्रभावी हेडर मायने रखते हैं। रीडायरेक्ट श्रृंखलाएँ अंतिम गंतव्य पर गायब हेडर छिपा सकती हैं।

क्या हर साइट के लिए CSP आवश्यक है?

उपयोगकर्ता सत्रों या गतिशील सामग्री वाली साइटों के लिए इसकी दृढ़ता से सिफारिश की जाती है। यहाँ तक कि एक बुनियादी CSP भी XSS जोखिम कम कर सकता है, लेकिन स्क्रिप्ट्स और तृतीय-पक्ष एकीकरण को तोड़ने से बचने के लिए CSP का सावधानीपूर्वक परीक्षण किया जाना चाहिए।

X-XSS-Protection को अप्रचलित या जोखिमपूर्ण क्यों चिह्नित किया गया है?

यह आधुनिक ब्राउज़रों में अप्रचलित है और कुछ ऐतिहासिक मामलों में अप्रत्याशित व्यवहार पैदा कर सकता है। इसके बजाय CSP और सुरक्षित कोडिंग प्रथाओं पर ध्यान दें।

एक सामान्य HSTS गलती क्या है?

HTTPS पर HSTS सक्षम करना लेकिन लगातार HTTPS प्रदान करना भूल जाना (या कैनोनिकल होस्ट पर इसे छोड़ देना)। एक अन्य सामान्य गलती प्रीलोड आवश्यकताओं को पूरी तरह से पूरा किए बिना प्रीलोड निर्देश जोड़ना है।

क्या केवल हेडर ही मेरे एप्लिकेशन को सुरक्षित कर सकते हैं?

नहीं। हेडर एक सुदृढ़ीकरण परत हैं। आपको अभी भी सुरक्षित कोडिंग, निर्भरता प्रबंधन, प्रमाणीकरण/अधिकार प्रबंधन की शुद्धता, और मजबूत सर्वर कॉन्फ़िगरेशन की आवश्यकता है।

Pro Tips

Best Practice

लैंडिंग HTML और आपके API एंडपॉइंट दोनों का ऑडिट करें। उनमें अक्सर अलग-अलग मिडलवेयर होते हैं और हेडर कवरेज में चुपचाप अंतर आ सकता है।

CI Tip

एक रीडायरेक्ट-चेन जाँच चलाएँ: पुष्टि करें कि अंतिम गंतव्य सबसे मजबूत हेडर सेट करता है (विशेष रूप से HSTS और CSP)।

Best Practice

कुकीज़ को अपनी सुरक्षा परिधि के हिस्से के रूप में देखें: सत्र कुकीज़ के लिए सुरक्षित + HttpOnly + उपयुक्त SameSite आपकी डिफ़ॉल्ट सेटिंग होनी चाहिए।

Best Practice

CSP के लिए, unsafe-inline/unsafe-eval को हटाने और nonces या hashes को अपनाने को प्राथमिकता दें। यह आमतौर पर वास्तविक दुनिया में सबसे बड़ा सुरक्षा लाभ होता है।

Best Practice

सर्वर विवरण लीक होने से बचें। फिंगरप्रिंटिंग कम करने के लिए जहां संभव हो Server / X-Powered-By हटाएं या कम करें।

CI Tip

CI में एक रिग्रेशन टेस्ट जोड़ें जो डिप्लॉयमेंट को विफल कर दे यदि महत्वपूर्ण हेडर गायब हो जाएं (प्रॉक्सी/CDN परिवर्तन इसका कारण लोगों की अपेक्षा से अधिक बार बनते हैं)।

Additional Resources

OWASP सुरक्षित हेडर प्रोजेक्ट
Documentation
MDN: कंटेंट सिक्योरिटी पॉलिसी (CSP)
Documentation
MDN: स्ट्रिक्ट-ट्रांसपोर्ट-सिक्योरिटी (HSTS)
Documentation
MDN: सेट-कुकी
Documentation
MDN: परमिशन-पॉलिसी
Documentation

Other Tools