Controllore Security.txt

๐Ÿ” Ispeziona le intestazioni di risposta HTTP per qualsiasi URL pubblico e ottieni istantaneamente approfondimenti su sicurezza, prestazioni e SEO. Visualizza CSP, HSTS, cookie, CORS, caching e comportamento dei reindirizzamenti in un colpo d'occhio โ€“ nessun login, nessuna chiave API, nessuna installazione.

Loadingโ€ฆ

Informazioni Analizzatore Intestazioni HTTP Online

Incolla un URL e questo strumento recupera le sue intestazioni di risposta HTTP, le raggruppa per scopo (sicurezza, prestazioni, SEO), calcola punteggi semplici ed evidenzia problemi, avvisi e raccomandazioni. Perfetto per sviluppatori, SEO, DevOps e revisioni di sicurezza quando desideri un rapido "controllo di integritร " visivo delle intestazioni senza avviare scanner completi.

Cosa Puรฒ Fare Questo Strumento per le Intestazioni HTTP

  • Categorizza le intestazioni in gruppi di sicurezza, prestazioni, SEO, deprecati e altri per una scansione piรน rapida
  • Calcola punteggi semplici per intestazioni complessive, di sicurezza, prestazioni e SEO per mostrare a colpo d'occhio la tua situazione
  • Evidenzia intestazioni di sicurezza come CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP e Origin-Agent-Cluster
  • Analizza i flag Set-Cookie per individuare attributi Secure, HttpOnly o SameSite mancanti
  • Rileva intestazioni deprecate o rischiose come X-XSS-Protection, X-Powered-By e banner Server che rivelano dettagli implementativi
  • Aiuta a ottimizzare intestazioni di prestazioni come Cache-Control, Content-Encoding, ETag, Last-Modified e Server-Timing
  • Evidenzia intestazioni relative alla SEO come Link (canonical/alternate) e X-Robots-Tag, piรน Content-Language quando presente
  • Nessun account, nessuna chiave API โ€“ basta incollare un URL pubblico, ispezionare le intestazioni e iterare sulla tua configurazione

๐Ÿ› ๏ธ Come Usare il Visualizzatore Intestazioni HTTP for security-txt-checker

1

1. Inserisci l'URL

๐Ÿ”— Incolla qualsiasi URL HTTP o HTTPS valido nel campo di input. Gli endpoint pubblici o le API esposte pubblicamente funzionano meglio.

2

2. Recupera le intestazioni

๐ŸŒ Il backend richiede l'URL e raccoglie le intestazioni di risposta, seguendo i reindirizzamenti quando possibile. Vengono ispezionati solo le intestazioni e i metadati di base, non l'intero corpo HTML.

3

3. Rivedi categorie e punteggi

๐Ÿง  Le intestazioni sono raggruppate in categorie di sicurezza, prestazioni, SEO, cookie, deprecate e altre. Lo strumento deriva punteggi, problemi, avvisi e raccomandazioni dalla configurazione delle tue intestazioni.

4

4. Correggi e testa di nuovo

๐Ÿ” Modifica la configurazione del tuo server, CDN o reverse-proxy, quindi esegui nuovamente il controllo finchรฉ i punteggi e gli avvisi non corrispondono ai tuoi obiettivi. Usalo come un rapido ciclo di feedback ogni volta che tocchi l'infrastruttura.

Dettagli Tecnici

Gestione Richiesta & Risposta

Lo strumento si concentra sulle intestazioni di risposta e sui metadati di connessione di base piuttosto che sul contenuto completo della pagina.

AspettoComportamentoNote
Metodo HTTPHEAD o GET (dipendente dall'implementazione)Vengono ispezionate solo le intestazioni; i corpi sono ignorati a meno che non sia necessario un fallback GET.
ReindirizzamentiCatena di reindirizzamenti registrata quando disponibileUtile per il debug di catene 301/302, target canonici e salti configurati male.
Versione HTTPCatturata quando fornitaAiuta a identificare configurazioni HTTP/1.1 vs HTTP/2/3 e potenziali opportunitร  di aggiornamento.
Banner del serverLetto dall'intestazione ServerUtilizzato per avvisare su potenziali perdite di informazioni (framework, versione).
Gestione erroriCampo di errore mostrato separatamenteSe il recupero fallisce, ottieni comunque uno stato di errore leggibile invece di un crash.

Classificazione & Analisi delle Intestazioni

Le intestazioni vengono normalizzate, quindi analizzate in categorie tipizzate con controlli e suggerimenti dedicati.

CategoriaIntestazioni TipicheControlli e Approfondimenti
SicurezzaContent-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-ClusterVerifica la presenza, segnala direttive deboli o mancanti, rileva pattern CSP non sicuri e origini di sviluppo.
PrestazioniCache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-TimingControlla suggerimenti di caching, compressione, supporto byte-range e header Link relativi alle prestazioni.
SEOLink (canonical/alternate), X-Robots-Tag, Content-LanguageRileva suggerimenti canonical/alternate e direttive per robot a livello di header, piรน metadati di lingua se presenti.
CookieSet-CookieAnalizza gli attributi Secure, HttpOnly, SameSite e avvisa quando i flag sono mancanti o sembrano deboli.
DeprecatoX-XSS-Protection, Public-Key-Pins, varianti legacy di CSPSegnala header che dovrebbero essere rimossi o sostituiti con alternative moderne.

Modello di Punteggio

I punteggi sono euristici, non un audit di sicurezza completo, ma aiutano a dare prioritร  al lavoro e a confrontare ambienti.

PunteggioCosa MisuraCome Viene Calcolato
Punteggio complessivoIgiene generale degli headerRapporto tra tutti gli header ponderati โ€“ principalmente basato sulla presenza con una leggera ponderazione.
Punteggio sicurezzaRafforzamento relativo alla sicurezzaPondera CSP, HSTS, controllo framing, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP e Origin-Agent-Cluster.
Punteggio prestazioniEfficienza di caching e trasferimentoPondera Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing e utilizzo di Link relativi alle prestazioni.
Punteggio SEOSegnali SEO a livello di headerPondera X-Robots-Tag, header Link canonical/alternate e Content-Language quando presenti.

Alternative CLI per l'Ispezione degli Header

Preferisci il terminale o integrare i controlli degli header in CI/CD? Usa questi comandi come strumenti locali complementari a questo tool:

Linux/macOS

Visualizza gli header di risposta usando curl

curl -I https://example.com

Invia una richiesta HEAD e stampa gli header di risposta per un rapido controllo di integritร .

Output dettagliato con header e negoziazione TLS

curl -v https://example.com

Utile per il debug di reindirizzamenti, configurazione TLS e dettagli di connessione.

Windows (PowerShell)

Recupera e ispeziona gli header con Invoke-WebRequest

(Invoke-WebRequest -Uri https://example.com).Headers

Mostra gli header come oggetto PowerShell, pronto per ulteriori filtri o scripting.

Applicazioni Pratiche

Revisione degli Header di Sicurezza

  • Controlla la mancanza di header CSP, HSTS, Referrer-Policy o Permissions-Policy sugli endpoint chiave.
  • Rileva direttive CSP non sicure come 'unsafe-inline' senza nonce o hash.
  • Individua cookie privi di attributi Secure o SameSite e pianifica correzioni per il rafforzamento della sessione.

Diagnostica delle Prestazioni e della Cache

  • Ispeziona la configurazione di Cache-Control, ETag e Content-Encoding su route statiche e dinamiche.
  • Verifica la presenza di suggerimenti per le prestazioni come header Link di preload o preconnect dal tuo CDN.
  • Confronta gli header relativi alle prestazioni tra ambienti di staging, preview e produzione.

Analisi SEO e Catene di Reindirizzamento

  • Ispeziona le catene di reindirizzamento 301/302 e conferma che l'URL di destinazione finale sia canonico e sicuro.
  • Controlla gli header Link canonical e alternate su pagine HTML o versioni localizzate.
  • Valida le direttive X-Robots-Tag per l'indicizzazione, il comportamento degli snippet e la gestione dei media.

โ“ Frequently Asked Questions

โ“Cosa sono gli header di risposta HTTP e perchรฉ sono importanti?

Gli header di risposta HTTP sono coppie chiave-valore inviate dal server prima del corpo. Controllano la cache, le politiche di sicurezza, i reindirizzamenti, CORS, i cookie e come browser e crawler interpretano il tuo sito. Configurarli correttamente รจ fondamentale per sicurezza, prestazioni e SEO.

๐Ÿ”’Gli URL che testo vengono memorizzati da qualche parte?

Lo strumento รจ progettato per utilizzare gli URL solo per eseguire ricerche e costruire analisi sulla pagina. Non sono destinati a essere conservati come profili a lungo termine. Come per qualsiasi strumento online, evita di testare endpoint interni estremamente sensibili che non dovrebbero mai essere esposti.

๐ŸงชPosso usarlo per ispezionare le risposte delle API?

Sรฌ, purchรฉ l'endpoint API sia raggiungibile pubblicamente dal server che effettua la richiesta. Questo รจ particolarmente utile per ispezionare gli header CORS, i suggerimenti di limitazione della frequenza, il comportamento della cache e i tipi di contenuto su API JSON o XML.

๐Ÿ•ต๏ธโ€โ™‚๏ธFunziona per le pagine dietro autenticazione?

In generale, no. Gli endpoint che richiedono una sessione di accesso, una VPN o header speciali non restituiranno risultati significativi a una richiesta generica. Usa gli strumenti di sviluppo del browser o script autenticati per le risorse private.

๐Ÿ“ˆIl punteggio รจ un audit di sicurezza completo?

No. Il punteggio รจ un'euristica che ti aiuta a individuare rapidamente header mancanti o deboli. Non sostituisce un test di penetrazione, una scansione delle vulnerabilitร  o una revisione manuale della sicurezza, ma รจ un ottimo controllo di integritร  iniziale e uno strumento di confronto tra ambienti.

Pro Tips

CI Tip

Confronta gli header tra staging, anteprima e produzione per individuare mancanze di hardening della sicurezza o regole di caching in un ambiente specifico.

Best Practice

Considera gli header Server e X-Powered-By come perdite di informazioni โ€“ rimuovili o minimizzali in produzione quando possibile.

Performance Tip

Ottimizza prima Cache-Control e Content-Encoding per le risorse statiche โ€“ spesso offrono i maggiori guadagni di prestazioni con rischio minimo.

Best Practice

Esegui questo strumento dopo ogni cambiamento infrastrutturale importante (CDN, reverse proxy, offload TLS, nuovo host) per confermare che gli header siano ancora corretti.

Additional Resources

MDN: Riferimento sugli Header HTTP
Documentation
Progetto OWASP Secure Headers
Documentation

Other Tools