Проверка security.txt

🔍 Инспектируйте HTTP-заголовки ответа для любого публичного URL и мгновенно получайте аналитику по безопасности, производительности и SEO. Смотрите CSP, HSTS, cookies, CORS, кэширование и поведение редиректов одним взглядом – без логина, API-ключа и установки.

Loading…

О сервисе Онлайн-анализатор HTTP-заголовков

Вставьте URL, и этот инструмент получит его HTTP-заголовки ответа, сгруппирует их по назначению (безопасность, производительность, SEO), рассчитает простые оценки и выделит проблемы, предупреждения и рекомендации. Идеально для разработчиков, SEO-специалистов, DevOps и аудитов безопасности, когда нужна быстрая визуальная «проверка здравомыслия заголовков» без запуска полноценных сканеров.

Что умеет этот инструмент для HTTP-заголовков

  • Группирует заголовки по категориям: безопасность, производительность, SEO, устаревшие и другие – для быстрого сканирования
  • Рассчитывает простые оценки для общих, безопасностных, производительностных и SEO-заголовков, чтобы показать ваше положение с первого взгляда
  • Выделяет заголовки безопасности, такие как CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP и Origin-Agent-Cluster
  • Анализирует флаги Set-Cookie, чтобы обнаружить отсутствие атрибутов Secure, HttpOnly или SameSite
  • Обнаруживает устаревшие или рискованные заголовки, такие как X-XSS-Protection, X-Powered-By и Server-баннеры, раскрывающие детали реализации
  • Помогает настраивать заголовки производительности, такие как Cache-Control, Content-Encoding, ETag, Last-Modified и Server-Timing
  • Показывает SEO-заголовки, такие как Link (canonical/alternate) и X-Robots-Tag, а также Content-Language, если присутствует
  • Без аккаунта, без API-ключа – просто вставьте публичный URL, инспектируйте заголовки и итеративно улучшайте конфигурацию

🛠️ Как использовать просмотрщик HTTP-заголовков for security-txt-checker

1

1. Введите URL

🔗 Вставьте любой корректный URL-адрес HTTP или HTTPS в поле ввода. Лучше всего подходят публичные конечные точки или открытые API.

2

2. Получите заголовки

🌐 Бэкенд отправляет запрос по URL и собирает заголовки ответа, по возможности следуя редиректам. Анализируются только заголовки и базовая метаинформация – не полное тело HTML.

3

3. Изучите категории и оценки

🧠 Заголовки группируются по категориям: безопасность, производительность, SEO, куки, устаревшие и другие. Инструмент выводит оценки, проблемы, предупреждения и рекомендации на основе вашей конфигурации заголовков.

4

4. Исправьте и перепроверьте

🔁 Настройте конфигурацию вашего сервера, CDN или обратного прокси, затем запустите проверку снова, пока оценки и предупреждения не будут соответствовать вашим целям. Используйте это как быструю обратную связь при работе с инфраструктурой.

Технические детали

Обработка запросов и ответов

Инструмент фокусируется на заголовках ответов и базовых метаданных соединения, а не на полном содержимом страницы.

АспектПоведениеПримечания
HTTP-методHEAD или GET (зависит от реализации)Анализируются только заголовки; тела игнорируются, если не требуется резервный вариант с GET.
РедиректыЦепочка редиректов записывается при наличииПолезно для отладки цепочек 301/302, канонических целей и некорректных переходов.
Версия HTTPФиксируется при наличииПомогает определить настройки HTTP/1.1 vs HTTP/2/3 и потенциальные возможности для обновления.
Баннер сервераСчитывается из заголовка ServerИспользуется для предупреждения о потенциальной утечке информации (фреймворк, версия).
Обработка ошибокПоле ошибки выводится отдельноЕсли получение данных не удалось, вы всё равно получите читаемое состояние ошибки вместо сбоя.

Классификация и анализ заголовков

Заголовки нормализуются, затем анализируются по типовым категориям с отдельными проверками и подсказками.

КатегорияТипичные заголовкиПроверки и аналитика
БезопасностьContent-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-ClusterПроверяет наличие, отмечает слабые или отсутствующие директивы, обнаруживает небезопасные шаблоны CSP и источники разработки.
ПроизводительностьCache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-TimingПроверяет подсказки кэширования, сжатие, поддержку байтовых диапазонов и связанные с производительностью заголовки Link.
SEOLink (canonical/alternate), X-Robots-Tag, Content-LanguageОбнаруживает канонические/альтернативные подсказки и директивы для роботов на уровне заголовков, а также метаданные языка, если они присутствуют.
КукиSet-CookieСканирует атрибуты Secure, HttpOnly, SameSite и предупреждает, когда флаги отсутствуют или выглядят слабыми.
УстаревшиеX-XSS-Protection, Public-Key-Pins, устаревшие варианты CSPОтмечает заголовки, которые следует удалить или заменить современными альтернативами.

Модель оценки

Оценки являются эвристическими, а не полным аудитом безопасности, но они помогают расставить приоритеты в работе и сравнить среды.

ОценкаЧто измеряетКак вычисляется
Общая оценкаОбщая гигиена заголовковСоотношение по всем взвешенным заголовкам – в основном на основе наличия с небольшим взвешиванием.
Оценка безопасностиУсиление, связанное с безопасностьюВзвешивает CSP, HSTS, контроль фреймов, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP и Origin-Agent-Cluster.
Оценка производительностиКэширование и эффективность передачиВзвешивает Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing и использование Link, связанное с производительностью.
Оценка SEOSEO-сигналы на уровне заголовковВзвешивает X-Robots-Tag, канонические/альтернативные заголовки Link и Content-Language, если они присутствуют.

Альтернативы CLI для проверки заголовков

Предпочитаете терминал или интеграцию проверки заголовков в CI/CD? Используйте эти команды как локальные дополнения к этому инструменту:

Linux/macOS

Просмотр заголовков ответа с помощью curl

curl -I https://example.com

Отправляет HEAD-запрос и выводит заголовки ответа для быстрой проверки.

Подробный вывод с заголовками и согласованием TLS

curl -v https://example.com

Полезно при отладке редиректов, конфигурации TLS и деталей подключения.

Windows (PowerShell)

Получение и проверка заголовков с помощью Invoke-WebRequest

(Invoke-WebRequest -Uri https://example.com).Headers

Отображает заголовки как объект PowerShell, готовый для дополнительной фильтрации или написания скриптов.

Практическое применение

Проверка заголовков безопасности

  • Проверьте отсутствие заголовков CSP, HSTS, Referrer-Policy или Permissions-Policy на ключевых конечных точках.
  • Обнаружение небезопасных директив CSP, таких как 'unsafe-inline' без nonces или хэшей.
  • Найдите cookies без атрибутов Secure или SameSite и запланируйте исправления для усиления сессий.

Диагностика производительности и кэширования

  • Проверьте конфигурацию Cache-Control, ETag и Content-Encoding на статических и динамических маршрутах.
  • Убедитесь в наличии подсказок производительности, таких как preload или preconnect Link headers от вашего CDN.
  • Сравните заголовки, связанные с производительностью, между staging, preview и production средами.

Анализ SEO и цепочек редиректов

  • Проверьте цепочки редиректов 301/302 и убедитесь, что конечный URL является каноническим и безопасным.
  • Проверьте канонические и альтернативные Link headers на HTML-страницах или локализованных версиях.
  • Проверьте директивы X-Robots-Tag для индексации, поведения сниппетов и обработки медиа.

❓ Frequently Asked Questions

Что такое HTTP-заголовки ответа и почему они важны?

HTTP-заголовки ответа — это пары ключ-значение, отправляемые сервером перед телом. Они управляют кэшированием, политиками безопасности, редиректами, CORS, cookies и тем, как браузеры и краулеры интерпретируют ваш сайт. Их правильная настройка критически важна для безопасности, производительности и SEO.

🔒Сохраняются ли где-либо тестируемые мной URL?

Инструмент предназначен для использования URL только для выполнения запросов и построения анализа на странице. Они не предназначены для долгосрочного хранения в качестве профилей. Как и с любым онлайн-инструментом, избегайте тестирования крайне чувствительных внутренних конечных точек, которые никогда не должны быть доступны извне.

🧪Можно ли использовать это для проверки ответов API?

Да, при условии, что конечная точка API общедоступна с сервера, выполняющего запрос. Это особенно полезно для проверки заголовков CORS, подсказок ограничения скорости, поведения кэша и типов контента в JSON или XML API.

🕵️‍♂️Работает ли это для страниц, защищенных аутентификацией?

Как правило, нет. Конечные точки, требующие сессии входа, VPN или специальных заголовков, не вернут значимых результатов для общего запроса. Используйте инструменты разработчика браузера или аутентифицированные скрипты для приватных ресурсов.

📈Является ли оценка полным аудитом безопасности?

Нет. Оценка — это эвристика, которая помогает быстро обнаружить отсутствующие или слабые заголовки. Она не заменяет пентест, сканирование уязвимостей или ручной обзор безопасности, но это отличная первичная проверка и инструмент сравнения между средами.

Pro Tips

CI Tip

Сравнивайте заголовки между стендовой, предпросмотровой и рабочей средой, чтобы обнаружить недостающие меры безопасности или правила кэширования в одной из сред.

Best Practice

Рассматривайте заголовки Server и X-Powered-By как утечку информации — удаляйте или минимизируйте их в рабочей среде, когда это возможно.

Best Practice

Сначала настройте Cache-Control и Content-Encoding для статических ресурсов — это часто даёт наибольший прирост производительности при минимальном риске.

Best Practice

Запускайте этот инструмент после каждого значительного изменения инфраструктуры (CDN, обратный прокси, TLS-разгрузка, новый хост), чтобы убедиться, что заголовки по-прежнему корректны.

Additional Resources

MDN: Справочник по HTTP-заголовкам
Documentation
Проект OWASP Secure Headers
Documentation

Other Tools

Просмотрщик и анализатор безопасности HTTP-заголовков – Инспекция, оценка и отладка заголовков | Encode64