Pemeriksa Header Keamanan

Periksa URL untuk header keamanan yang hilang atau berisiko (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) dan analisis flag cookie (Secure, HttpOnly, SameSite). Ikuti pengalihan ke tujuan akhir, ekspor laporan JSON/PDF, dan dapatkan rekomendasi pengerasan yang dapat ditindaklanjuti.

Loading…

Tentang Pemeriksa Header Keamanan

Keamanan web modern sebagian besar ditegakkan oleh header respons HTTP. Alat ini mengambil URL (opsional mengikuti pengalihan) dan mengaudit header pengerasan utama yang mengurangi masalah XSS, clickjacking, sniffing MIME, transportasi tidak aman, dan isolasi lintas asal. Ini juga meninjau atribut Set-Cookie untuk menangkap celah umum seperti Secure/HttpOnly/SameSite yang hilang, atau SameSite=None tanpa Secure.

Fitur

  • Ikuti pengalihan untuk mengaudit tujuan HTTPS akhir (direkomendasikan untuk penerapan di dunia nyata).
  • Memeriksa header pengerasan yang diperlukan: Kebijakan-Keamanan-Konten, Transport-Ketat-Keamanan, Opsi-X-Content-Type, Opsi-X-Frame, Kebijakan-Referrer, Kebijakan-Izin.
  • Memeriksa header modern yang direkomendasikan: COOP, COEP, CORP, Kluster-Agen-Asal, dan sinyal pengerasan tambahan jika ada.
  • Analisis cookie untuk flag Set-Cookie: Secure, HttpOnly, SameSite; memperingatkan tentang SameSite=None tanpa Secure.
  • Analisis CSP: menyoroti unsafe-inline, unsafe-eval, sumber wildcard, arahan defensif yang hilang (default-src, object-src, base-uri, frame-ancestors), dan catatan report-only.
  • Menandai header yang usang atau berisiko (misalnya, X-XSS-Protection) dan header kebocoran informasi (misalnya, Server, X-Powered-By).
  • Temuan yang dapat disalin/dibagikan untuk tinjauan keamanan, laporan pentest, atau tiket bug.
  • Unduh laporan sebagai JSON atau PDF untuk audit, bukti kepatuhan, dan pelacakan regresi.

🧭 Cara menggunakan for security-headers-checker

1

Tempel URL yang ingin diaudit

Masukkan URL lengkap (sebaiknya https://…). Alat ini mengevaluasi header respons yang dikembalikan oleh endpoint tersebut.

2

Aktifkan “Ikuti Pengalihan” (direkomendasikan)

Banyak situs mengalihkan http→https dan non-www→www (atau sebaliknya). Mengikuti pengalihan mengaudit tujuan akhir yang sebenarnya dicapai oleh pengguna dan bot.

3

Pilih apakah akan menampilkan header mentah

Aktifkan “Tampilkan Header Mentah” jika Anda ingin baris header asli untuk debugging (bagus untuk CDN, proxy terbalik, dan default framework).

4

Tinjau temuan dan prioritaskan perbaikan

Fokus pertama pada keamanan transportasi (HSTS), anti-XSS (CSP), perlindungan frame (proteksi clickjacking), flag cookie, dan isolasi lintas asal (COOP/COEP/CORP) jika berlaku.

5

Ekspor laporan untuk pelacakan

Unduh JSON/PDF untuk dilampirkan ke tiket, bandingkan perubahan dari waktu ke waktu, atau tambahkan pemeriksaan ke CI untuk regresi.

Spesifikasi teknis

Apa yang diperiksa alat ini

Pemeriksa berfokus pada header respons modern berdampak tinggi dan atribut cookie yang digunakan untuk kontrol keamanan yang ditegakkan browser.

AreaSinyal yang diperiksaMengapa ini penting
Keamanan transportStrict-Transport-Security (HSTS)Memaksa HTTPS dan membantu mencegah SSL stripping pada kunjungan berikutnya.
Mitigasi XSSContent-Security-Policy (CSP) + kesalahan umumMembatasi sumber skrip/gaya dan mengurangi dampak XSS saat dikonfigurasi dengan benar.
ClickjackingX-Frame-Options dan/atau CSP frame-ancestorsMencegah halaman Anda dibingkai oleh asal lain.
Penyadapan MIMEX-Content-Type-Options: nosniffMenghentikan browser menebak tipe konten dengan cara berisiko.
Kebocoran referrerReferrer-PolicyMengontrol seberapa banyak info referrer dikirim ke situs lain.
Kontrol izinPermissions-PolicyMembatasi fitur kuat (kamera, mikrofon, geolokasi, dll.) di tingkat browser.
Isolasi lintas asalCOOP / COEP / CORP (dan terkait)Diperlukan untuk isolasi keamanan lanjutan dan beberapa API berkinerja tinggi.
CookiesSet-Cookie flags: Secure, HttpOnly, SameSiteMengurangi risiko pencurian sesi dan mengurangi CSRF saat dikonfigurasi dengan benar.
Berisiko/kedaluwarsaX-XSS-Protection, Server, X-Powered-By (saat ada)Kontrol kedaluwarsa atau kebocoran info yang dapat membantu penyerang.

Perilaku dan batas permintaan

Audit berjalan di sisi server dan dapat mengikuti pengalihan untuk mencocokkan perilaku navigasi nyata.

PengaturanPerilakuDefault
Ikuti PengalihanMengikuti hingga sejumlah pengalihan yang dibatasiDiaktifkan
Maks. PengalihanPengalihan maksimum saat pengikut diaktifkan10
Waktu HabisWaktu tunggu permintaan15000 ms
User-AgentHeader identifikasi permintaanEncode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Jaringan pribadiMemblokir target jaringan pribadiTidak diizinkan

Menafsirkan hasil dengan benar

Pemindaian header yang “lolos” tidak sama dengan “aman.” Header adalah satu lapisan. Tujuannya adalah untuk mengurangi dampak dari kelas masalah umum dan menegakkan pengaturan default browser yang lebih aman.

Gunakan laporan ini sebagai daftar periksa pengerasan dasar. Tetap audit autentikasi, otorisasi, validasi input, kerentanan dependensi, dan konfigurasi server.

Baris perintah

Gunakan curl untuk mereplikasi apa yang dilakukan pemeriksa dan memvalidasi header dengan cepat selama debugging atau CI.

macOS / Linux

Ambil header respons

curl -I [https://example.com](https://example.com)

Menampilkan header tingkat atas yang dikembalikan oleh endpoint.

Ikuti pengalihan dan tampilkan header

curl -IL [https://example.com](https://example.com)

Berguna untuk mengonfirmasi header tujuan akhir setelah pengalihan.

Periksa baris Set-Cookie

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Membantu memverifikasi atribut Secure/HttpOnly/SameSite.

Windows (PowerShell)

Ambil header respons

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

Mencetak header yang dikembalikan di PowerShell.

Selalu uji halaman HTML Anda dan endpoint API kritis: mereka sering memiliki tumpukan middleware yang berbeda dan karenanya set header yang berbeda.

Kasus penggunaan

Dasar pengerasan keamanan untuk aplikasi web

Tetapkan dasar header minimum dan tangkap header yang hilang setelah penerapan, perubahan proxy/CDN, atau pembaruan kerangka kerja.

  • Verifikasi HSTS hadir di HTTPS produksi
  • Pastikan perlindungan clickjacking diaktifkan untuk halaman terautentikasi

Tinjauan keamanan kuki dan sesi

Validasi bahwa kuki sesi dikirim dengan Secure/HttpOnly/SameSite dan deteksi kesalahan konfigurasi umum.

  • Tangkap SameSite=None tanpa Secure
  • Konfirmasi HttpOnly diatur pada token sesi

Kualitas CSP dan pengurangan risiko XSS

Identifikasi pola CSP berisiko tinggi dan prioritaskan perbaikan yang secara material mengurangi dampak XSS.

  • Hapus unsafe-inline dan terapkan strategi nonce/hash
  • Tambahkan frame-ancestors dan base-uri untuk pengaturan default yang lebih kuat

Pemeriksaan regresi CDN / reverse proxy

Deteksi saat CDN, load balancer, atau proxy menghapus atau menduplikasi header.

  • Verifikasi header keamanan tetap ada setelah perubahan Cloudflare/Varnish/Nginx
  • Pastikan pengalihan tidak menghilangkan HSTS pada tujuan akhir

❓ Frequently Asked Questions

Mengapa header keamanan penting?

Header ini memberlakukan kontrol keamanan sisi browser yang mengurangi dampak serangan web umum seperti XSS, clickjacking, dan masalah konten-campuran atau penurunan versi. Mereka juga menetapkan pengaturan default yang lebih aman untuk cookie dan perilaku lintas-asal.

Haruskah saya mengaktifkan "Ikuti Pengalihan"?

Biasanya ya. Pengguna nyata dan crawler akan sampai di URL akhir setelah pengalihan, dan di situlah header efektif menjadi penting. Rantai pengalihan dapat menyembunyikan header yang hilang pada tujuan akhir.

Apakah CSP diperlukan untuk setiap situs?

Sangat direkomendasikan untuk situs dengan sesi pengguna atau konten dinamis. Bahkan CSP dasar dapat mengurangi risiko XSS, tetapi CSP harus diuji dengan cermat untuk menghindari kerusakan skrip dan integrasi pihak ketiga.

Mengapa X-XSS-Protection ditandai sebagai usang atau berisiko?

Sudah usang di browser modern dan dalam beberapa kasus historis dapat menyebabkan perilaku tak terduga. Fokuslah pada CSP dan praktik pengkodean yang aman sebagai gantinya.

Apa kesalahan HSTS yang umum?

Mengaktifkan HSTS pada HTTPS tetapi lupa menyajikan HTTPS secara konsisten (atau menghilangkannya pada host kanonik). Kesalahan umum lainnya adalah menambahkan direktif preload tanpa sepenuhnya memenuhi persyaratan preload.

Bisakah header saja mengamankan aplikasi saya?

Tidak. Header adalah lapisan pengerasan. Anda masih memerlukan pengkodean yang aman, manajemen dependensi, kebenaran autentikasi/otorisasi, dan konfigurasi server yang kuat.

Pro Tips

Best Practice

Audit baik HTML landing maupun endpoint API Anda. Mereka sering memiliki middleware yang berbeda dan dapat secara diam-diam menyimpang dalam cakupan header.

CI Tip

Jalankan pemeriksaan rantai pengalihan: konfirmasi tujuan akhir menetapkan header terkuat (terutama HSTS dan CSP).

Best Practice

Perlakukan cookie sebagai bagian dari perimeter keamanan Anda: Secure + HttpOnly + SameSite yang sesuai harus menjadi default untuk cookie sesi.

Best Practice

Untuk CSP, prioritaskan menghapus unsafe-inline/unsafe-eval dan mengadopsi nonce atau hash. Ini biasanya keuntungan keamanan terbesar di dunia nyata.

Best Practice

Hindari kebocoran detail server. Hapus atau minimalkan Server / X-Powered-By jika memungkinkan untuk mengurangi fingerprinting.

CI Tip

Tambahkan uji regresi di CI yang menggagalkan deployment jika header kritis menghilang (perubahan proxy/CDN sering kali menyebabkan ini lebih dari yang diperkirakan).

Additional Resources

Proyek Header Aman OWASP
Documentation
MDN: Kebijakan Keamanan Konten (CSP)
Documentation
MDN: Strict-Transport-Security (HSTS)
Documentation
MDN: Set-Cookie
Documentation
MDN: Permissions-Policy
Documentation

Other Tools