Weryfikator Security.txt
🔍 Sprawdź nagłówki odpowiedzi HTTP dla dowolnego publicznego adresu URL i uzyskaj natychmiastowe informacje o bezpieczeństwie, wydajności i SEO. Zobacz na pierwszy rzut oka CSP, HSTS, ciasteczka, CORS, buforowanie i zachowanie przekierowań – bez logowania, bez klucza API, bez instalacji.
Co potrafi to narzędzie do nagłówków HTTP
- Kategoryzuje nagłówki na grupy: bezpieczeństwo, wydajność, SEO, przestarzałe i inne dla szybszego skanowania
- Oblicza proste oceny dla ogólnych, bezpieczeństwa, wydajności i nagłówków SEO, aby pokazać na pierwszy rzut oka, gdzie stoisz
- Wyróżnia nagłówki bezpieczeństwa, takie jak CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP i Origin-Agent-Cluster
- Analizuje flagi Set-Cookie, aby wykryć brakujące atrybuty Secure, HttpOnly lub SameSite
- Wykrywa przestarzałe lub ryzykowne nagłówki, takie jak X-XSS-Protection, X-Powered-By i banery Server, które ujawniają szczegóły implementacji
- Pomaga dostroić nagłówki wydajności, takie jak Cache-Control, Content-Encoding, ETag, Last-Modified i Server-Timing
- Pokazuje nagłówki związane z SEO, takie jak Link (canonical/alternate) i X-Robots-Tag, a także Content-Language, gdy jest obecny
- Bez konta, bez klucza API – po prostu wklej publiczny adres URL, sprawdź nagłówki i iteruj nad swoją konfiguracją
🛠️ Jak korzystać z Przeglądarki Nagłówków HTTP for security-txt-checker
1. Wprowadź adres URL
🔗 Wklej dowolny prawidłowy adres URL HTTP lub HTTPS w pole wejściowe. Najlepiej sprawdzają się publiczne punkty końcowe lub publicznie dostępne API.
2. Pobierz nagłówki
🌐 Backend wysyła żądanie do adresu URL i zbiera nagłówki odpowiedzi, podążając za przekierowaniami, gdy to możliwe. Sprawdzane są tylko nagłówki i podstawowe metadane – nie pełna treść HTML.
3. Przejrzyj kategorie i oceny
🧠 Nagłówki są grupowane w kategorie: bezpieczeństwo, wydajność, SEO, ciasteczka, przestarzałe i inne. Narzędzie generuje oceny, problemy, ostrzeżenia i rekomendacje na podstawie konfiguracji nagłówków.
4. Popraw i przetestuj ponownie
🔁 Dostosuj konfigurację serwera, CDN lub reverse-proxy, a następnie ponownie uruchom sprawdzanie, aż oceny i ostrzeżenia będą zgodne z oczekiwaniami. Użyj tego jako szybkiej pętli sprzężenia zwrotnego przy modyfikacjach infrastruktury.
Szczegóły techniczne
Obsługa żądań i odpowiedzi
Narzędzie skupia się na nagłówkach odpowiedzi i podstawowych metadanych połączenia, a nie na pełnej treści strony.
| Aspekt | Zachowanie | Uwagi |
|---|---|---|
| Metoda HTTP | HEAD lub GET (zależne od implementacji) | Sprawdzane są tylko nagłówki; treści są ignorowane, chyba że wymagane jest użycie GET. |
| Przekierowania | Łańcuch przekierowań rejestrowany, gdy dostępny | Przydatne do debugowania łańcuchów 301/302, celów kanonicznych i błędnie skonfigurowanych skoków. |
| Wersja HTTP | Przechwytywana, gdy dostarczona | Pomaga zidentyfikować konfiguracje HTTP/1.1 vs HTTP/2/3 i potencjalne możliwości aktualizacji. |
| Baner serwera | Odczyt z nagłówka Server | Używane do ostrzegania o potencjalnym wycieku informacji (framework, wersja). |
| Obsługa błędów | Pole błędu wyświetlane osobno | Jeśli pobieranie się nie powiedzie, nadal otrzymasz czytelny stan błędu zamiast awarii. |
Klasyfikacja i analiza nagłówków
Nagłówki są normalizowane, a następnie analizowane w przypisanych kategoriach z dedykowanymi sprawdzeniami i wskazówkami.
| Kategoria | Typowe nagłówki | Kontrole i Wglądy |
|---|---|---|
| Bezpieczeństwo | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | Weryfikuje obecność, oznacza słabe lub brakujące dyrektywy, wykrywa niebezpieczne wzorce CSP i źródła deweloperskie. |
| Wydajność | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | Sprawdza wskazówki dotyczące pamięci podręcznej, kompresji, wsparcie zakresów bajtów oraz nagłówki Link związane z wydajnością. |
| SEO | Link (canonical/alternate), X-Robots-Tag, Content-Language | Wykrywa wskazówki canonical/alternate oraz dyrektywy robotów na poziomie nagłówka, a także metadane językowe, jeśli są obecne. |
| Ciasteczka | Set-Cookie | Skanuje atrybuty Secure, HttpOnly, SameSite i ostrzega, gdy flagi są brakujące lub wyglądają na słabe. |
| Przestarzałe | X-XSS-Protection, Public-Key-Pins, starsze warianty CSP | Oznacza nagłówki, które powinny zostać usunięte lub zastąpione nowoczesnymi alternatywami. |
Model Punktacji
Punkty są heurystyczne, a nie pełnym audytem bezpieczeństwa, ale pomagają ustalić priorytety pracy i porównać środowiska.
| Punktacja | Co Mierzy | Jak Jest Obliczana |
|---|---|---|
| Ogólna punktacja | Ogólna higiena nagłówków | Stosunek we wszystkich ważonych nagłówkach – głównie oparty na obecności z lekkim ważeniem. |
| Punktacja bezpieczeństwa | Wzmocnienia związane z bezpieczeństwem | Ważenie CSP, HSTS, kontroli ramkowania, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP oraz Origin-Agent-Cluster. |
| Punktacja wydajności | Pamięć podręczna i efektywność transferu | Ważenie Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing oraz użycia Link związanych z wydajnością. |
| Punktacja SEO | Sygnały SEO na poziomie nagłówka | Ważenie X-Robots-Tag, nagłówków Link canonical/alternate oraz Content-Language, gdy są obecne. |
Alternatywy CLI do Inspekcji Nagłówków
Wolisz terminal lub integrację kontroli nagłówków z CI/CD? Użyj tych poleceń jako lokalnych towarzyszy tego narzędzia:
Linux/macOS
Wyświetl nagłówki odpowiedzi za pomocą curl
curl -I https://example.comWysyła żądanie HEAD i wyświetla nagłówki odpowiedzi dla szybkiej kontroli poprawności.
Pełne wyjście z nagłówkami i negocjacją TLS
curl -v https://example.comPrzydatne podczas debugowania przekierowań, konfiguracji TLS i szczegółów połączenia.
Windows (PowerShell)
Pobierz i sprawdź nagłówki za pomocą Invoke-WebRequest
(Invoke-WebRequest -Uri https://example.com).HeadersWyświetla nagłówki jako obiekt PowerShell, gotowy do dodatkowego filtrowania lub skryptowania.
Praktyczne Zastosowania
Przegląd Nagłówków Bezpieczeństwa
- Sprawdź brakujące nagłówki CSP, HSTS, Referrer-Policy lub Permissions-Policy na kluczowych punktach końcowych.
- Wykryj niebezpieczne dyrektywy CSP, takie jak 'unsafe-inline' bez nonces lub hashów.
- Wykryj ciasteczka bez atrybutów Secure lub SameSite i zaplanuj poprawki dla wzmocnienia sesji.
Diagnostyka Wydajności i Pamięci Podręcznej
- Sprawdź konfigurację Cache-Control, ETag i Content-Encoding na trasach statycznych i dynamicznych.
- Zweryfikuj obecność wskazówek wydajności, takich jak nagłówki Link preload lub preconnect z Twojego CDN.
- Porównaj nagłówki związane z wydajnością między środowiskami staging, preview i produkcyjnym.
Analiza SEO i Łańcuchów Przekierowań
- Sprawdź łańcuchy przekierowań 301/302 i potwierdź, że końcowy URL docelowy jest kanoniczny i bezpieczny.
- Sprawdź kanoniczne i alternatywne nagłówki Link na stronach HTML lub zlokalizowanych wersjach.
- Sprawdź poprawność dyrektyw X-Robots-Tag dla indeksowania, zachowania fragmentów i obsługi mediów.
❓ Frequently Asked Questions
❓Czym są nagłówki odpowiedzi HTTP i dlaczego są ważne?
HTTP to pary klucz-wartość wysyłane przez serwer przed treścią. Kontrolują buforowanie, polityki bezpieczeństwa, przekierowania, CORS, ciasteczka oraz sposób, w jaki przeglądarki i roboty interpretują Twoją stronę. Ich prawidłowe ustawienie jest kluczowe dla bezpieczeństwa, wydajności i SEO.🔒Czy testowane przeze mnie adresy URL są gdzieś przechowywane?
🧪Czy mogę tego użyć do sprawdzenia odpowiedzi API?
API jest publicznie dostępny z serwera wykonującego żądanie. Jest to szczególnie przydatne do sprawdzania nagłówków CORS, wskazówek dotyczących ograniczania szybkości, zachowania pamięci podręcznej i typów zawartości w API JSON lub XML.🕵️♂️Czy działa dla stron wymagających uwierzytelnienia?
📈Czy wynik to pełny audyt bezpieczeństwa?
Pro Tips
Porównaj nagłówki między środowiskami staging, preview i produkcyjnym, aby wykryć brakujące zabezpieczenia lub reguły buforowania w danym środowisku.
Traktuj nagłówki Server i X-Powered-By jako wyciek informacji – usuń je lub zminimalizuj w środowisku produkcyjnym, gdy tylko to możliwe.
Najpierw dostosuj Cache-Control i Content-Encoding dla zasobów statycznych – często zapewniają największe korzyści wydajnościowe przy minimalnym ryzyku.
Uruchamiaj to narzędzie po każdej większej zmianie infrastruktury (CDN, reverse proxy, odciążenie TLS, nowy host), aby potwierdzić, że nagłówki nadal są poprawne.
Additional Resources
Other Tools
- Upiększacz CSS
- Upiększacz HTML
- Upiększacz JavaScript
- Upiększacz PHP
- Wybór koloru
- Ekstraktor sprite'ów
- Koder binarny Base32
- Dekoder Base32
- Koder Base32
- Koder binarny Base58
- Dekoder Base58
- Koder Base58
- Koder binarny Base62
- Dekoder Base62
- Koder Base62
- Koder binarny Base64
- Dekoder Base64
- Koder Base64
- Koder binarny szesnastkowy
- Dekoder szesnastkowy
- Koder szesnastkowy
- Formatowanie C#
- Formatowanie CSV
- Dockerfile Formatter
- Formatowanie Elm
- Formatowanie ENV
- Formatowanie Go
- Formatowanie GraphQL
- Formatowanie HCL
- Formatowanie INI
- Formatowanie JSON
- Formatowanie LaTeX
- Formatowanie Markdown
- Formatowanie Objective-C
- Php Formatter
- Formatowanie Proto
- Formatowanie Python
- Formatowanie Ruby
- Formatowanie Rust
- Formatowanie Scala
- Formatowanie skryptów powłoki
- Formatowanie SQL
- Formatowanie SVG
- Formatowanie Swift
- Formatowanie TOML
- Typescript Formatter
- Formatowanie XML
- Formatowanie YAML
- Formatowanie Yarn
- Minifikator CSS
- Html Minifier
- Javascript Minifier
- Minifikator JSON
- Minifikator XML
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- Przegląd nagłówków HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF do tekstu
- Tester wyrażeń regularnych
- Sprawdzanie pozycji w SERP
- Wyszukiwanie Whois