Güvenlik Başlıkları Denetleyicisi

Bir URL'de eksik veya riskli güvenlik başlıklarını (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) kontrol edin ve çerez bayraklarını (Secure, HttpOnly, SameSite) analiz edin. Son hedefe yönlendirmeleri takip edin, JSON/PDF raporları dışa aktarın ve uygulanabilir güçlendirme önerileri alın.

Loading…

Hakkında Güvenlik Başlıkları Denetleyicisi

Modern web güvenliği büyük ölçüde HTTP yanıt başlıklarıyla sağlanır. Bu araç bir URL'yi (isteğe bağlı olarak yönlendirmeleri takip ederek) getirir ve XSS, tıklama hırsızlığı, MIME koklama, güvensiz taşıma ve çapraz kaynak izolasyonu sorunlarını azaltan temel güçlendirme başlıklarını denetler. Ayrıca Secure/HttpOnly/SameSite eksikliği veya Secure olmadan SameSite=None gibi yaygın boşlukları yakalamak için Set-Cookie özniteliklerini inceler.

Özellikler

Gerçek dağıtımlar için önerilen son HTTPS hedefini denetlemek üzere yönlendirmeleri takip eder.
Gerekli güçlendirme başlıklarını kontrol eder: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
Önerilen modern başlıkları kontrol eder: COOP, COEP, CORP, Origin-Agent-Cluster ve mevcut olduğunda ek güçlendirme sinyalleri.
Set-Cookie bayrakları için çerez analizi: Secure, HttpOnly, SameSite; Secure olmadan SameSite=None için uyarır.
CSP analizi: unsafe-inline, unsafe-eval, joker kaynaklar, eksik savunma yönergeleri (default-src, object-src, base-uri, frame-ancestors) ve yalnızca raporlama uyarılarını vurgular.
Kullanımdan kalkmış veya riskli başlıkları (örn. X-XSS-Protection) ve bilgi sızıntısı başlıklarını (örn. Server, X-Powered-By) işaretler.
Güvenlik incelemeleri, penetrasyon testi raporları veya hata biletleri için kopyalanabilir/paylaşılabilir bulgular.
Denetimler, uyumluluk kanıtı ve gerileme takibi için raporları JSON veya PDF olarak indirin.

🧭 Nasıl kullanılır for security-headers-checker

Denetlemek istediğiniz URL'yi yapıştırın

Tam URL'yi girin (tercihen https://…). Araç, bu uç nokta tarafından döndürülen yanıt başlıklarını değerlendirir.

“Yönlendirmeleri Takip Et”i etkinleştirin (önerilir)

Birçok site http→https ve non-www→www (veya tersi) yönlendirmesi yapar. Yönlendirmeleri takip etmek, kullanıcıların ve botların gerçekte ulaştığı son hedefi denetler.

Ham başlıkları gösterip göstermemeyi seçin

Hata ayıklama için orijinal başlık satırlarını istiyorsanız “Ham Başlıkları Göster”i etkinleştirin (CDN'ler, ters proxy'ler ve çerçeve varsayılanları için idealdir).

Bulguları gözden geçirin ve düzeltmeleri önceliklendirin

Öncelikle taşıma güvenliğine (HSTS), anti-XSS'e (CSP), tıklama hırsızlığına (çerçeve korumaları), çerez bayraklarına ve uygulanabilir olduğunda çapraz kaynak izolasyonuna (COOP/COEP/CORP) odaklanın.

Takip için bir rapor dışa aktarın

Biletlere eklemek, zaman içindeki değişiklikleri karşılaştırmak veya gerilemeler için CI'ye kontroller eklemek üzere JSON/PDF indirin.

Teknik özellikler

Bu araç neyi kontrol eder

Denetleyici, tarayıcı tarafından zorunlu kılınan güvenlik kontrolleri için kullanılan modern, yüksek etkili yanıt başlıklarına ve çerez özniteliklerine odaklanır.

Alan	Kontrol edilen sinyaller	Neden Önemli
Taşıma Güvenliği	Strict-Transport-Security (HSTS)	HTTPS kullanımını zorlar ve sonraki ziyaretlerde SSL sıyırmasını önlemeye yardımcı olur.
XSS Azaltma	Content-Security-Policy (CSP) + yaygın tuzaklar	Betik/stil kaynaklarını kısıtlar ve doğru yapılandırıldığında XSS etkisini azaltır.
Tıklama Hırsızlığı	X-Frame-Options ve/veya CSP frame-ancestors	Sayfalarınızın başka kökenler tarafından çerçevelenmesini engeller.
MIME Koklama	X-Content-Type-Options: nosniff	Tarayıcıların içerik türlerini riskli şekillerde tahmin etmesini durdurur.
Referans Sızıntısı	Referrer-Policy	Diğer sitelere ne kadar referans bilgisi gönderileceğini kontrol eder.
İzin Kontrolü	Permissions-Policy	Güçlü özellikleri (kamera, mikrofon, konum vb.) tarayıcı düzeyinde kısıtlar.
Çapraz Köken İzolasyonu	COOP / COEP / CORP (ve ilgili)	Gelişmiş güvenlik izolasyonu ve bazı yüksek performanslı API'lar için gereklidir.
Çerezler	Set-Cookie bayrakları: Secure, HttpOnly, SameSite	Oturum hırsızlığı riskini azaltır ve doğru yapılandırıldığında CSRF'yi hafifletir.
Riskli/Kullanımdan Kaldırılmış	X-XSS-Protection, Server, X-Powered-By (mevcut olduğunda)	Kullanımdan kaldırılan kontroller veya saldırganlara yardımcı olabilecek bilgi sızıntıları.

İstek Davranışı ve Sınırlar

Denetim sunucu tarafında çalışır ve gerçek gezinme davranışını eşleştirmek için yönlendirmeleri takip edebilir.

Ayar	Davranış	Varsayılan
Yönlendirmeleri Takip Et	Sınırlı sayıda yönlendirmeyi takip eder	Etkin
Maksimum Yönlendirme	Takip etkin olduğunda izin verilen maksimum yönlendirme sayısı	10
Zaman Aşımı	İstek zaman aşımı	15000 ms
User-Agent	İstek tanımlama başlığı	Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Özel ağlar	Özel ağ hedeflerini engeller	İzin verilmez

Sonuçları doğru yorumlama

Bir başlık taramasının "geçer" olması, "güvenli" olduğu anlamına gelmez. Başlıklar sadece bir katmandır. Amaç, yaygın sorun sınıflarının etki alanını azaltmak ve daha güvenli tarayıcı varsayılanlarını uygulamaktır.

Bu raporu temel bir güçlendirme kontrol listesi olarak kullanın. Yine de kimlik doğrulama, yetkilendirme, girdi doğrulama, bağımlılık güvenlik açıkları ve sunucu yapılandırmasını denetleyin.

Komut satırı

Hata ayıklama veya CI sırasında denetleyicinin yaptığını tekrarlamak ve başlıkları hızlıca doğrulamak için curl kullanın.

macOS / Linux

Yanıt başlıklarını getir

curl -I [https://example.com](https://example.com)

Uç nokta tarafından döndürülen üst düzey başlıkları gösterir.

Yönlendirmeleri takip et ve başlıkları göster

curl -IL [https://example.com](https://example.com)

Yönlendirmelerden sonraki son hedef başlıklarını doğrulamak için kullanışlıdır.

Set-Cookie satırlarını incele

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Secure/HttpOnly/SameSite özelliklerini doğrulamaya yardımcı olur.

Windows (PowerShell)

Yanıt başlıklarını getir

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

PowerShell'de döndürülen başlıkları yazdırır.

Hem HTML sayfalarınızı hem de kritik API uç noktalarınızı her zaman test edin: genellikle farklı ara katman yığınlarına ve dolayısıyla farklı başlık kümelerine sahiptirler.

Kullanım alanları

Bir web uygulaması için güvenlik güçlendirme temeli

Dağıtımlar, proxy/CDN değişiklikleri veya çerçeve yükseltmelerinden sonra eksik başlıkları yakalamak için minimum bir başlık temeli oluşturun.

Üretim HTTPS'inde HSTS'nin mevcut olduğunu doğrulayın
Kimliği doğrulanmış sayfalar için tıklama sahteciliği korumalarının etkin olduğundan emin olun

Çerez ve oturum güvenliği incelemesi

Oturum çerezlerinin Secure/HttpOnly/SameSite ile gönderildiğini doğrulayın ve yaygın yapılandırma hatalarını tespit edin.

Secure olmadan SameSite=None'ı yakalayın
Oturum belirteçlerinde HttpOnly'nin ayarlandığını onaylayın

CSP kalitesi ve XSS riski azaltma

Yüksek riskli CSP desenlerini belirleyin ve XSS etkisini önemli ölçüde azaltan düzeltmeleri önceliklendirin.

Güvensiz satır içi kullanımını kaldırın ve nonce/karma stratejisini benimseyin
Daha güçlü varsayılanlar için frame-ancestors ve base-uri ekleyin

CDN / ters vekil sunucu gerileme kontrolleri

Bir CDN, yük dengeleyici veya vekil sunucunun başlıkları kaldırdığı veya çoğalttığı durumları tespit edin.

Güvenlik başlıklarının Cloudflare/Varnish/Nginx değişikliklerinden sonra korunduğunu doğrulayın
Yönlendirmelerin nihai hedefte HSTS'yi düşürmediğinden emin olun

❓ Frequently Asked Questions

❓Güvenlik başlıkları neden önemlidir?

XSS, tıklama hırsızlığı ve karışık içerik veya düşürme sorunları gibi yaygın web saldırılarının etkisini azaltan tarayıcı tarafı güvenlik kontrollerini zorunlu kılarlar. Ayrıca çerezler ve çapraz kaynak davranışı için daha güvenli varsayılanlar belirlerler.

❓“Yönlendirmeleri İzle” seçeneğini etkinleştirmeli miyim?

Genellikle evet. Gerçek kullanıcılar ve tarayıcılar yönlendirmelerden sonra nihai URL'ye ulaşır ve etkili başlıkların önemli olduğu yer burasıdır. Yönlendirme zincirleri, nihai hedefte eksik başlıkları gizleyebilir.

❓CSP her site için gerekli midir?

Kullanıcı oturumları veya dinamik içeriğe sahip siteler için şiddetle tavsiye edilir. Temel bir CSP bile XSS riskini azaltabilir, ancak CSP, betikleri ve üçüncü taraf entegrasyonlarını bozmamak için dikkatlice test edilmelidir.

❓X-XSS-Koruma neden kullanımdan kalkmış veya riskli olarak işaretleniyor?

Modern tarayıcılarda geçersizdir ve bazı tarihsel durumlarda beklenmeyen davranışlara yol açabilir. Bunun yerine CSP ve güvenli kodlama uygulamalarına odaklanın.

❓Yaygın bir HSTS hatası nedir?

HTTPS üzerinde HSTS'yi etkinleştirip HTTPS'yi tutarlı bir şekilde sunmayı unutmak (veya kurallı ana bilgisayarda eksik bırakmak). Bir diğer yaygın hata, ön yükleme gereksinimlerini tam olarak karşılamadan ön yükleme yönergeleri eklemektir.

❓Başlıklar tek başına uygulamamı güvence altına alabilir mi?

Hayır. Başlıklar bir güçlendirme katmanıdır. Hala güvenli kodlama, bağımlılık yönetimi, kimlik doğrulama/ yetkilendirme doğruluğu ve sağlam sunucu yapılandırmasına ihtiyacınız var.

Pro Tips

Best Practice

Hem açılış HTML'ini hem de API uç noktalarınızı denetleyin. Genellikle farklı ara katmanlara sahiptirler ve başlık kapsamında sessizce ayrışabilirler.

CI Tip

Bir yönlendirme zinciri kontrolü çalıştırın: nihai hedefin en güçlü başlıkları (özellikle HSTS ve CSP) ayarladığını doğrulayın.

Best Practice

Çerezleri güvenlik çevrenizin bir parçası olarak değerlendirin: Oturum çerezleri için varsayılanınız Secure + HttpOnly + uygun SameSite olmalıdır.

Best Practice

CSP için öncelikle unsafe-inline/unsafe-eval'i kaldırmaya ve nonce veya hash kullanmaya odaklanın. Bu genellikle gerçek dünyadaki en büyük güvenlik kazancını sağlar.

Best Practice

Sunucu detaylarını sızdırmaktan kaçının. Parmak izi oluşumunu azaltmak için mümkün olduğunda Server / X-Powered-By başlıklarını kaldırın veya en aza indirin.

CI Tip

Kritik başlıklar kaybolduğunda dağıtımları başarısız kılan bir regresyon testini CI'ye ekleyin (proxy/CDN değişikliklerinin bunu tahmin edilenden daha sık tetiklediğini unutmayın).