Перевірка заголовків безпеки

Перевірте URL на наявність відсутніх або ризикових заголовків безпеки (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) та проаналізуйте прапорці cookies (Secure, HttpOnly, SameSite). Слідуйте за редіректами до кінцевого пункту призначення, експортуйте звіти JSON/PDF та отримуйте практичні рекомендації щодо загартування.

Loading…

Про інструмент Перевірка заголовків безпеки

Сучасна веб-безпека значною мірою забезпечується заголовками HTTP-відповіді. Цей інструмент отримує URL (за бажанням слідуючи за редіректами) та аудитує ключові заголовки загартування, які зменшують ризики XSS, клікджекингу, MIME-сніфінгу, небезпечного транспорту та проблем із ізоляцією між джерелами. Він також перевіряє атрибути Set-Cookie, щоб виявити типові прогалини, такі як відсутність Secure/HttpOnly/SameSite або SameSite=None без Secure.

Можливості

Слідування за редіректами для аудиту кінцевого HTTPS-призначення (рекомендується для реальних розгортань).
Перевіряє необхідні заголовки загартування: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
Перевіряє рекомендовані сучасні заголовки: COOP, COEP, CORP, Origin-Agent-Cluster та додаткові сигнали загартування, якщо вони присутні.
Аналіз cookies для прапорців Set-Cookie: Secure, HttpOnly, SameSite; попереджає про SameSite=None без Secure.
Аналіз CSP: виділяє unsafe-inline, unsafe-eval, джерела-замінники, відсутні захисні директиви (default-src, object-src, base-uri, frame-ancestors) та застереження щодо report-only.
Позначає застарілі або ризикові заголовки (наприклад, X-XSS-Protection) та заголовки витоку інформації (наприклад, Server, X-Powered-By).
Копіювання/поширення результатів для оглядів безпеки, звітів пентестів або баг-тикетів.
Завантаження звітів у форматі JSON або PDF для аудитів, доказів відповідності та відстеження регресій.

🧭 Як користуватися for security-headers-checker

Вставте URL, який потрібно перевірити

Введіть повний URL (бажано https://…). Інструмент оцінює заголовки відповіді, повернуті цим кінцевим пунктом.

Увімкніть «Слідувати за редіректами» (рекомендовано)

Багато сайтів перенаправляють http→https та non-www→www (або навпаки). Слідування за редіректами дозволяє перевірити кінцевий пункт призначення, якого фактично досягають користувачі та боти.

Виберіть, чи показувати сирі заголовки

Увімкніть «Показати сирі заголовки», якщо потрібні оригінальні рядки заголовків для налагодження (чудово підходить для CDN, зворотних проксі та стандартних налаштувань фреймворків).

Перегляньте результати та визначте пріоритети виправлень

Спершу зосередьтеся на безпеці транспорту (HSTS), захисті від XSS (CSP), захисті від клікджекингу (захист фреймів), прапорцях cookies та ізоляції між джерелами (COOP/COEP/CORP), де це застосовно.

Експортуйте звіт для відстеження

Завантажте JSON/PDF, щоб додати до тикетів, порівняти зміни з часом або додати перевірки до CI для виявлення регресій.

Технічні характеристики

Що перевіряє цей інструмент

Перевірка зосереджена на сучасних, високоефективних заголовках відповіді та атрибутах cookies, які використовуються для засобів безпеки, що забезпечуються браузером.

Область	Перевірені сигнали	Чому це важливо
Безпека транспорту	Strict-Transport-Security (HSTS)	Примусово використовує HTTPS та допомагає запобігти атакам SSL stripping при наступних відвідуваннях.
Запобігання XSS	Content-Security-Policy (CSP) + поширені помилки	Обмежує джерела скриптів/стилів та зменшує вплив XSS при правильній конфігурації.
Клікджекінг	X-Frame-Options та/або CSP frame-ancestors	Запобігає вбудовуванню ваших сторінок в iframe з інших джерел.
MIME-сніфінг	X-Content-Type-Options: nosniff	Блокує спроби браузера визначати типи контенту ризикованими способами.
Витік реферера	Referrer-Policy	Контролює, яка інформація про реферер передається на інші сайти.
Контроль дозволів	Permissions-Policy	Обмежує потужні функції (камера, мікрофон, геолокація тощо) на рівні браузера.
Міжджерельна ізоляція	COOP / COEP / CORP (та пов'язані)	Необхідно для розширеної ізоляції безпеки та деяких високопродуктивних API.
Куки	Прапорці Set-Cookie: Secure, HttpOnly, SameSite	Зменшує ризик крадіжки сесії та пом'якшує CSRF при правильній конфігурації.
Ризиковані/застарілі	X-XSS-Protection, Server, X-Powered-By (якщо присутні)	Застарілі контролі або витік інформації, що може допомогти атакуючим.

Поведінка запитів та обмеження

Аудит виконується на стороні сервера та може слідувати за редіректами, щоб відповідати реальній поведінці навігації.

Налаштування	Поведінка	За замовчуванням
Слідувати за редіректами	Слідує за обмеженою кількістю редіректів	Увімкнено
Макс. редіректів	Максимальна кількість редіректів при увімкненому слідуванні	10
Таймаут	Таймаут запиту	15000 мс
User-Agent	Заголовок ідентифікації запиту	Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Приватні мережі	Блокує цілі в приватних мережах	Не дозволено

Правильна інтерпретація результатів

«Успішне» сканування заголовків не означає «безпечне». Заголовки — це лише один шар. Мета — зменшити масштаб поширених класів проблем і забезпечити безпечніші налаштування браузера за замовчуванням.

Використовуйте цей звіт як базовий контрольний список для захисту. Все одно перевіряйте автентифікацію, авторизацію, валідацію введення, вразливості залежностей та конфігурацію сервера.

Командний рядок

Використовуйте curl, щоб повторити дії перевірки та швидко перевірити заголовки під час налагодження або CI.

macOS / Linux

Отримати заголовки відповіді

curl -I [https://example.com](https://example.com)

Показує заголовки верхнього рівня, повернуті кінцевою точкою.

Слідувати за перенаправленнями та показувати заголовки

curl -IL [https://example.com](https://example.com)

Корисно для підтвердження заголовків кінцевого пункту призначення після перенаправлень.

Перевірити рядки Set-Cookie

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Допомагає перевірити атрибути Secure/HttpOnly/SameSite.

Windows (PowerShell)

Отримати заголовки відповіді

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

Виводить повернуті заголовки в PowerShell.

Завжди тестуйте як ваші HTML-сторінки, так і критично важливі API-ендпоінти: вони часто мають різні стеки проміжного програмного забезпечення, а отже, і різні набори заголовків.

Сценарії використання

Базова лінія захисту для веб-додатку

Встановити мінімальну базову лінію заголовків і виявляти відсутні заголовки після розгортань, змін проксі/CDN або оновлень фреймворку.

Перевірити наявність HSTS у продакшн HTTPS
Переконатися, що захист від клікджекінгу увімкнено для автентифікованих сторінок

Огляд безпеки cookie та сесій

Перевірити, що сесійні cookie надсилаються з Secure/HttpOnly/SameSite, і виявити поширені помилки конфігурації.

Виявити SameSite=None без Secure
Підтвердити, що HttpOnly встановлено для токенів сесії

Якість CSP та зниження ризику XSS

Визначте високоризикові шаблони CSP та пріоритезуйте виправлення, які суттєво знижують вплив XSS.

Видаліть unsafe-inline та прийміть стратегію nonce/hash
Додайте frame-ancestors та base-uri для сильніших налаштувань за замовчуванням

Перевірки на регресію CDN / зворотного проксі

Виявляйте, коли CDN, балансувальник навантаження або проксі видаляють або дублюють заголовки.

Перевірте, що заголовки безпеки зберігаються після змін у Cloudflare/Varnish/Nginx
Переконайтеся, що перенаправлення не втрачають HSTS на кінцевому пункті призначення

❓ Frequently Asked Questions

❓Чому важливі заголовки безпеки?

Вони забезпечують контроль безпеки на стороні браузера, що зменшує вплив поширених веб-атак, таких як XSS, клікджекінг, проблеми змішаного контенту або пониження рівня безпеки. Вони також встановлюють безпечніші налаштування за замовчуванням для файлів cookie та міжпоходження.

❓Чи слід увімкнути «Слідувати за перенаправленнями»?

Зазвичай так. Реальні користувачі та сканери опиняються на кінцевому URL після перенаправлень, і саме там ефективні заголовки мають значення. Ланцюжки перенаправлень можуть приховувати відсутність заголовків у кінцевому пункті призначення.

❓Чи потрібен CSP для кожного сайту?

Його настійно рекомендують для сайтів із сесіями користувачів або динамічним контентом. Навіть базовий CSP може знизити ризик XSS, але CSP слід ретельно тестувати, щоб уникнути порушення роботи скриптів та інтеграцій сторонніх постачальників.

❓Чому X-XSS-Protection позначається як застарілий або ризикований?

Він застарів у сучасних браузерах, і в деяких історичних випадках міг спричинити неочікувану поведінку. Натомість зосередьтеся на CSP та безпечних практиках кодування.

❓Яка поширена помилка з HSTS?

Увімкнення HSTS на HTTPS, але забуття забезпечувати HTTPS послідовно (або його відсутність на канонічному хості). Інша поширена помилка — додавання директив попереднього завантаження без повного виконання вимог до попереднього завантаження.

❓Чи можуть лише заголовки забезпечити безпеку моєї програми?

Ні. Заголовки — це шар посилення. Вам все ще потрібне безпечне кодування, управління залежностями, правильність автентифікації/авторизації та надійна конфігурація сервера.

Pro Tips

Best Practice

Аудитіть як цільову HTML-сторінку, так і ваші API-ендпоінти. Вони часто мають різне проміжне програмне забезпечення і можуть непомітно розходитися в покритті заголовками.

CI Tip

Запустіть перевірку ланцюжка перенаправлень: підтвердьте, що кінцевий пункт призначення встановлює найсильніші заголовки (особливо HSTS і CSP).

Best Practice

Розглядайте cookies як частину вашого периметра безпеки: Secure + HttpOnly + відповідний SameSite мають бути стандартом для сесійних cookies.

Best Practice

Для CSP надавайте пріоритет видаленню unsafe-inline/unsafe-eval та впровадженню nonces або хешів. Це зазвичай дає найбільший практичний приріст безпеки.

Best Practice

Уникайте витоку інформації про сервер. За можливості видаляйте або мінімізуйте заголовки Server / X-Powered-By, щоб зменшити можливість збору відбитків.

CI Tip

Додайте регресійний тест у CI, який блокуватиме деплой, якщо зникнуть критичні заголовки (зміни в проксі/CDN викликають це частіше, ніж очікується).