Controllore Intestazioni di Sicurezza
Controlla un URL per header di sicurezza mancanti o rischiosi (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) e analizza i flag dei cookie (Secure, HttpOnly, SameSite). Segui i reindirizzamenti alla destinazione finale, esporta report JSON/PDF e ricevi raccomandazioni pratiche per il hardening.
Funzionalità
- Segui i reindirizzamenti per controllare la destinazione HTTPS finale (consigliato per distribuzioni reali).
- Controlla gli header di hardening richiesti: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Controlla gli header moderni raccomandati: COOP, COEP, CORP, Origin-Agent-Cluster e ulteriori segnali di hardening se presenti.
- Analisi dei cookie per i flag Set-Cookie: Secure, HttpOnly, SameSite; avvisa su SameSite=None senza Secure.
- Analisi CSP: evidenzia unsafe-inline, unsafe-eval, sorgenti wildcard, direttive difensive mancanti (default-src, object-src, base-uri, frame-ancestors) e avvertenze report-only.
- Segnala header deprecati o rischiosi (es. X-XSS-Protection) e header che rivelano informazioni (es. Server, X-Powered-By).
- Risultati copiabili/condivisibili per revisioni di sicurezza, report di pentest o ticket di bug.
- Scarica report in JSON o PDF per audit, prove di conformità e tracciamento delle regressioni.
🧭 Come usare for security-headers-checker
Incolla l'URL che desideri controllare
Inserisci l'URL completo (preferibilmente https://…). Lo strumento valuta gli header di risposta restituiti da quell'endpoint.
Abilita “Segui Reindirizzamenti” (consigliato)
Molti siti reindirizzano http→https e non-www→www (o viceversa). Seguire i reindirizzamenti controlla la destinazione finale effettivamente raggiunta da utenti e bot.
Scegli se mostrare gli header grezzi
Abilita “Mostra Header Grezzi” se desideri le righe originali degli header per il debug (ottimo per CDN, proxy inversi e impostazioni predefinite dei framework).
Rivedi i risultati e definisci le priorità di correzione
Concentrati prima sulla sicurezza del trasporto (HSTS), anti-XSS (CSP), protezione dal clickjacking (protezioni frame), flag dei cookie e isolamento cross-origin (COOP/COEP/CORP) dove applicabile.
Esporta un report per il tracciamento
Scarica JSON/PDF da allegare ai ticket, confrontare i cambiamenti nel tempo o aggiungere controlli al CI per le regressioni.
Specifiche tecniche
Cosa controlla questo strumento
Il controllore si concentra su header di risposta moderni e ad alto impatto e sugli attributi dei cookie utilizzati per i controlli di sicurezza applicati dal browser.
| Area | Segnali controllati | Perché è importante |
|---|---|---|
| Sicurezza del trasporto | Strict-Transport-Security (HSTS) | Impone HTTPS e aiuta a prevenire lo SSL stripping nelle visite successive. |
| Mitigazione XSS | Content-Security-Policy (CSP) + errori comuni | Limita le origini di script/stili e riduce l'impatto XSS se configurata correttamente. |
| Clickjacking | X-Frame-Options e/o CSP frame-ancestors | Impedisce che le tue pagine vengano inserite in frame da altre origini. |
| Sniffing MIME | X-Content-Type-Options: nosniff | Impedisce ai browser di indovinare i tipi di contenuto in modi rischiosi. |
| Perdita di referrer | Referrer-Policy | Controlla quanta informazione del referrer viene inviata ad altri siti. |
| Controllo permessi | Permissions-Policy | Limita funzionalità potenti (fotocamera, microfono, geolocalizzazione, ecc.) a livello browser. |
| Isolamento cross-origin | COOP / COEP / CORP (e correlati) | Necessario per l'isolamento di sicurezza avanzato e alcune API ad alte prestazioni. |
| Cookie | Flag Set-Cookie: Secure, HttpOnly, SameSite | Riduce il rischio di furto di sessione e mitiga il CSRF se configurato correttamente. |
| Rischiosi/deprecati | X-XSS-Protection, Server, X-Powered-By (se presenti) | Controlli deprecati o perdita di informazioni che può aiutare gli attaccanti. |
Comportamento e limiti delle richieste
L'audit viene eseguito lato server e può seguire i reindirizzamenti per corrispondere al comportamento di navigazione reale.
| Impostazione | Comportamento | Predefinito |
|---|---|---|
| Segui Reindirizzamenti | Segue fino a un numero limitato di reindirizzamenti | Abilitato |
| Max Reindirizzamenti | Numero massimo di reindirizzamenti quando il seguire è abilitato | 10 |
| Timeout | Timeout della richiesta | 15000 ms |
| User-Agent | Intestazione di identificazione della richiesta | Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com)) |
| Reti private | Blocca i target di rete privata | Non consentito |
Interpretare correttamente i risultati
Una scansione delle intestazioni “superata” non equivale a “sicura”. Le intestazioni sono un solo strato. L'obiettivo è ridurre il raggio d'impatto di classi comuni di problemi e imporre impostazioni predefinite più sicure del browser.
Riga di comando
Usa curl per replicare ciò che fa il controllore e convalidare rapidamente le intestazioni durante il debug o la CI.
macOS / Linux
Recupera le intestazioni di risposta
curl -I [https://example.com](https://example.com)Mostra le intestazioni di primo livello restituite dall'endpoint.
Segui i reindirizzamenti e mostra le intestazioni
curl -IL [https://example.com](https://example.com)Utile per confermare le intestazioni della destinazione finale dopo i reindirizzamenti.
Ispeziona le righe Set-Cookie
curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'Aiuta a verificare gli attributi Secure/HttpOnly/SameSite.
Windows (PowerShell)
Recupera le intestazioni di risposta
(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).HeadersStampa le intestazioni restituite in PowerShell.
Casi d'uso
Baseline di hardening della sicurezza per un'app web
Stabilire una baseline minima delle intestazioni e individuare intestazioni mancanti dopo distribuzioni, modifiche al proxy/CDN o aggiornamenti del framework.
- Verifica che HSTS sia presente su HTTPS di produzione
- Assicurati che le protezioni contro il clickjacking siano abilitate per le pagine autenticate
Revisione della sicurezza dei cookie e delle sessioni
Convalida che i cookie di sessione vengano inviati con Secure/HttpOnly/SameSite e rileva configurazioni errate comuni.
- Rileva SameSite=None senza Secure
- Conferma che HttpOnly sia impostato sui token di sessione
Qualità CSP e riduzione del rischio XSS
Identifica pattern CSP ad alto rischio e dai priorità alle correzioni che riducono significativamente l'impatto XSS.
- Rimuovi unsafe-inline e adotta una strategia nonce/hash
- Aggiungi frame-ancestors e base-uri per impostazioni predefinite più robuste
Controlli regressione CDN / proxy inverso
Rileva quando una CDN, un bilanciatore di carico o un proxy rimuove o duplica gli header.
- Verifica che gli header di sicurezza sopravvivano alle modifiche di Cloudflare/Varnish/Nginx
- Assicurati che i reindirizzamenti non perdano HSTS sulla destinazione finale
❓ Frequently Asked Questions
❓Perché gli header di sicurezza sono importanti?
❓Dovrei abilitare “Segui Reindirizzamenti”?
❓Il CSP è obbligatorio per ogni sito?
❓Perché X-XSS-Protection è segnalato come deprecato o rischioso?
❓Qual è un errore comune con HSTS?
HTTPS ma dimenticare di servire HTTPS in modo coerente (o mancarlo sull'host canonico). Un altro errore comune è aggiungere direttive di preload senza soddisfare pienamente i requisiti di preload.❓Gli header da soli possono proteggere la mia applicazione?
Pro Tips
Verifica sia l'HTML di destinazione che i tuoi endpoint API. Spesso hanno middleware diversi e possono divergere silenziosamente nella copertura degli header.
Esegui un controllo della catena di reindirizzamento: conferma che la destinazione finale imposti gli header più forti (specialmente HSTS e CSP).
Considera i cookie come parte del tuo perimetro di sicurezza: Secure + HttpOnly + SameSite appropriato dovrebbe essere l'impostazione predefinita per i cookie di sessione.
Per CSP, dai priorità alla rimozione di unsafe-inline/unsafe-eval e all'adozione di nonce o hash. Questo è solitamente il guadagno di sicurezza più significativo nel mondo reale.
Evita di rivelare dettagli del server. Rimuovi o minimizza Server / X-Powered-By dove possibile per ridurre il fingerprinting.
Aggiungi un test di regressione in CI che blocchi le distribuzioni se le intestazioni critiche scompaiono (le modifiche a proxy/CDN causano questo problema più spesso di quanto si pensi).
Additional Resources
Other Tools
- Abbellitore CSS
- Abbellitore HTML
- Abbellitore Javascript
- Abbellitore PHP
- Selettore Colori
- Estrattore Sprite
- Codificatore Binario Base32
- Decodificatore Base32
- Codificatore Base32
- Codificatore Binario Base58
- Decodificatore Base58
- Codificatore Base58
- Codificatore Binario Base62
- Decodificatore Base62
- Codificatore Base62
- Codificatore Binario Base64
- Decodificatore Base64
- Codificatore Base64
- Codificatore Binario Esadecimale
- Decodificatore Esadecimale
- Codificatore Esadecimale
- Formattatore Csharp
- Formattatore CSV
- Dockerfile Formatter
- Formattatore Elm
- Formattatore ENV
- Formattatore Go
- Formattatore GraphQL
- Formattatore HCL
- Formattatore INI
- Formattatore JSON
- Formattatore LaTeX
- Formattatore Markdown
- Formattatore Objective-C
- Php Formatter
- Formattatore Proto
- Formattatore Python
- Formattatore Ruby
- Formattatore Rust
- Formattatore Scala
- Formattatore Script Shell
- Formattatore SQL
- Formattatore SVG
- Formattatore Swift
- Formattatore TOML
- Typescript Formatter
- Formattatore XML
- Formattatore YAML
- Formattatore Yarn
- Minificatore CSS
- Html Minifier
- Javascript Minifier
- Minificatore JSON
- Minificatore XML
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- Visualizzatore Intestazioni HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Txt Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF a Testo
- Tester Regex
- Controllore Posizione SERP
- Ricerca Whois