Перевірка security.txt

🔍 Перевіряйте HTTP-заголовки відповіді для будь-якої публічної URL-адреси та отримуйте миттєві аналізи безпеки, продуктивності та SEO. Переглядайте CSP, HSTS, cookies, CORS, кешування та поведінку перенаправлень одним поглядом – без входу, API-ключа чи встановлення.

Loading…

Про інструмент Онлайн-аналізатор HTTP-заголовків

Вставте URL-адресу, і цей інструмент отримає її HTTP-заголовки відповіді, згрупує їх за призначенням (безпека, продуктивність, SEO), обчислить прості оцінки та виявить проблеми, попередження та рекомендації. Ідеально для розробників, SEO-спеціалістів, DevOps та аудитів безпеки, коли потрібна швидка візуальна «перевірка заголовків» без запуску повноцінних сканерів.

Що може цей інструмент для HTTP-заголовків

  • Групує заголовки за категоріями: безпека, продуктивність, SEO, застарілі та інші для швидшого сканування
  • Обчислює прості оцінки для загальних, безпекових, продуктивних та SEO-заголовків, щоб показати ваш статус одним поглядом
  • Виділяє безпекові заголовки, такі як CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP та Origin-Agent-Cluster
  • Аналізує прапорці Set-Cookie, щоб виявити відсутні атрибути Secure, HttpOnly або SameSite
  • Виявляє застарілі або ризиковані заголовки, такі як X-XSS-Protection, X-Powered-By та баннери Server, які розкривають деталі реалізації
  • Допомагає налаштувати заголовки продуктивності, такі як Cache-Control, Content-Encoding, ETag, Last-Modified та Server-Timing
  • Показує SEO-заголовки, такі як Link (канонічні/альтернативні) та X-Robots-Tag, а також Content-Language, якщо присутні
  • Без облікового запису, без API-ключа – просто вставте публічну URL-адресу, перевірте заголовки та вдосконалюйте конфігурацію

🛠️ Як використовувати переглядач HTTP-заголовків for security-txt-checker

1

1. Введіть URL-адресу

🔗 Вставте будь-яку дійсну HTTP або HTTPS URL-адресу в поле введення. Публічні кінцеві точки або відкриті API працюють найкраще.

2

2. Отримайте заголовки

🌐 Серверна частина запитує URL-адресу та збирає заголовки відповіді, переходячи за перенаправленнями, коли це можливо. Аналізуються лише заголовки та основні метадані – не повний HTML-вміст.

3

3. Перегляньте категорії та оцінки

🧠 Заголовки згруповані за категоріями: безпека, продуктивність, SEO, cookies, застарілі та інші. Інструмент виводить оцінки, проблеми, попередження та рекомендації на основі вашої конфігурації заголовків.

4

4. Виправте та перевірте знову

🔁 Налаштуйте конфігурацію вашого сервера, CDN або зворотного проксі, а потім повторно запустіть перевірку, поки оцінки та попередження не відповідатимуть вашим цілям. Використовуйте це як швидкий цикл зворотного зв'язку при роботі з інфраструктурою.

Технічні деталі

Обробка запиту та відповіді

Інструмент зосереджується на заголовках відповіді та основних метаданих підключення, а не на повному вмісті сторінки.

АспектПоведінкаПримітки
HTTP-методHEAD або GET (залежить від реалізації)Аналізуються лише заголовки; тіла ігноруються, якщо не потрібне резервне використання GET.
ПеренаправленняЛанцюжок перенаправлень записується, коли доступнийКорисно для налагодження ланцюжків 301/302, канонічних цілей та неправильно налаштованих переходів.
Версія HTTPФіксується, коли надаєтьсяДопомагає визначити налаштування HTTP/1.1 проти HTTP/2/3 та потенційні можливості для оновлення.
Інформація про серверЗчитується з заголовка ServerВикористовується для попередження про потенційну витоку інформації (фреймворк, версія).
Обробка помилокПоле помилки відображається окремоЯкщо отримання даних не вдалося, ви все одно отримаєте зрозумілий стан помилки замість збою.

Класифікація та аналіз заголовків

Заголовки нормалізуються, а потім аналізуються за типовими категоріями зі спеціальними перевірками та підказками.

КатегоріяТипові заголовкиПеревірки та аналіз
БезпекаContent-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-ClusterПеревіряє наявність, позначає слабкі або відсутні директиви, виявляє небезпечні шаблони CSP та джерела розробки.
ПродуктивністьCache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-TimingПеревіряє підказки кешування, стиснення, підтримку byte-range та пов'язані з продуктивністю заголовки Link.
SEOLink (canonical/alternate), X-Robots-Tag, Content-LanguageВиявляє підказки canonical/alternate та директиви для роботів на рівні заголовків, а також метадані мови, де вони присутні.
CookiesSet-CookieСканує на наявність атрибутів Secure, HttpOnly, SameSite та попереджає, коли прапорці відсутні або виглядають слабкими.
ЗастаріліX-XSS-Protection, Public-Key-Pins, застарілі варіанти CSPПозначає заголовки, які слід видалити або замінити сучасними альтернативами.

Модель оцінювання

Оцінки є евристичними, а не повним аудитом безпеки, але вони допомагають визначити пріоритети роботи та порівняти середовища.

ОцінкаЩо вимірюєЯк обчислюється
Загальна оцінкаЗагальна якість заголовківСпіввідношення за всіма зваженими заголовками – переважно на основі наявності з невеликим зважуванням.
Оцінка безпекиЗаходи щодо захисту, пов'язані з безпекоюЗважує CSP, HSTS, контроль фреймів, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP та Origin-Agent-Cluster.
Оцінка продуктивностіКешування та ефективність передачіЗважує Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing та використання Link, пов'язане з продуктивністю.
Оцінка SEOSEO-сигнали на рівні заголовківЗважує X-Robots-Tag, заголовки Link canonical/alternate та Content-Language, коли вони присутні.

Альтернативи CLI для перевірки заголовків

Віддаєте перевагу терміналу або інтеграції перевірок заголовків у CI/CD? Використовуйте ці команди як локальні доповнення до цього інструменту:

Linux/macOS

Переглянути заголовки відповіді за допомогою curl

curl -I https://example.com

Надсилає запит HEAD та виводить заголовки відповіді для швидкої перевірки.

Детальний вивід із заголовками та узгодженням TLS

curl -v https://example.com

Корисно для налагодження перенаправлень, конфігурації TLS та деталей підключення.

Windows (PowerShell)

Отримання та перевірка заголовків за допомогою Invoke-WebRequest

(Invoke-WebRequest -Uri https://example.com).Headers

Відображає заголовки як об'єкт PowerShell, готовий до додаткової фільтрації або скриптування.

Практичне Застосування

Перевірка Заголовків Безпеки

  • Перевірте наявність відсутніх заголовків CSP, HSTS, Referrer-Policy або Permissions-Policy на ключових кінцевих точках.
  • Виявіть небезпечні директиви CSP, такі як 'unsafe-inline' без nonces або хешів.
  • Знайдіть файли cookie без атрибутів Secure або SameSite та плануйте виправлення для посилення сесій.

Діагностика Продуктивності та Кешування

  • Перевірте конфігурацію Cache-Control, ETag та Content-Encoding для статичних та динамічних маршрутів.
  • Підтвердьте наявність підказок продуктивності, таких як заголовки Link preload або preconnect від вашого CDN.
  • Порівняйте заголовки, пов'язані з продуктивністю, між середовищами staging, preview та production.

Аналіз SEO та Ланцюжків Перенаправлень

  • Перевірте ланцюжки перенаправлень 301/302 та підтвердьте, що кінцевий URL є канонічним та безпечним.
  • Перевірте канонічні та альтернативні заголовки Link на HTML-сторінках або локалізованих версіях.
  • Перевірте директиви X-Robots-Tag для індексації, поведінки фрагментів та обробки медіа.

❓ Frequently Asked Questions

Що таке заголовки HTTP-відповіді та чому вони важливі?

Заголовки HTTP-відповіді — це пари ключ-значення, які сервер надсилає перед тілом. Вони контролюють кешування, політики безпеки, перенаправлення, CORS, файли cookie та те, як браузери та краулери інтерпретують ваш сайт. Правильне їх налаштування критично важливе для безпеки, продуктивності та SEO.

🔒Чи зберігаються десь URL-адреси, які я тестую?

Інструмент розроблений для використання URL-адрес лише для виконання запитів та проведення аналізу на сторінці. Вони не призначені для довгострокового зберігання як профілі. Як і з будь-яким онлайн-інструментом, уникайте тестування надзвичайно чутливих внутрішніх кінцевих точок, які ніколи не повинні бути доступні ззовні.

🧪Чи можу я використовувати це для перевірки відповідей API?

Так, за умови, що кінцева точка API є публічно доступною з сервера, що робить запит. Це особливо корисно для перевірки заголовків CORS, підказок щодо обмеження швидкості, поведінки кешу та типів вмісту для JSON або XML API.

🕵️‍♂️Чи працює це для сторінок, захищених автентифікацією?

Загалом, ні. Кінцеві точки, які вимагають авторизованої сесії, VPN або спеціальних заголовків, не повернуть значущих результатів для загального запиту. Для приватних ресурсів використовуйте інструменти розробника браузера або автентифіковані скрипти.

📈Чи є оцінка повним аудитом безпеки?

Ні. Оцінка є евристикою, яка допомагає швидко виявити відсутні або слабкі заголовки. Вона не замінює пентест, сканування вразливостей або ручний огляд безпеки, але є чудовим першим кроком для перевірки та інструментом порівняння між середовищами.

Pro Tips

CI Tip

Порівнюйте заголовки між тестовим, прев'ю та продакшн середовищами, щоб виявити відсутність заходів безпеки або правил кешування в одному з них.

Best Practice

Розглядайте заголовки Server та X-Powered-By як виток інформації – видаляйте або мінімізуйте їх у продакшні, коли це можливо.

Best Practice

Спочатку налаштуйте Cache-Control та Content-Encoding для статичних ресурсів – це часто дає найбільший приріст продуктивності з мінімальним ризиком.

Best Practice

Запускайте цей інструмент після кожної значної зміни інфраструктури (CDN, зворотний проксі, TLS офлоад, новий хост), щоб підтвердити коректність заголовків.

Additional Resources

MDN: Довідник з HTTP-заголовків
Documentation
Проєкт OWASP Secure Headers
Documentation

Other Tools