Apa Itu Alat Cek HTTP Header?
Alat cek HTTP header (juga dikenal sebagai pemeriksa header server) adalah alat yang mengirim permintaan HTTP ke URL apa pun dan menampilkan header respons yang dikembalikan oleh server web. Header ini berisi metadata penting tentang konfigurasi server — termasuk tipe konten, kebijakan caching, software server, pengaturan kompresi, dan yang terpenting, header keamanan yang melindungi dari serangan web umum.
Alat cek HTTP header gratis kami tidak hanya menampilkan daftar header. Alat ini melakukan pemeriksaan header keamanan menyeluruh, menganalisis enam header keamanan kritis (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, dan Permissions-Policy) dan memberikan nilai dari A hingga F. Baik Anda seorang developer yang mendiagnosis masalah respons, insinyur keamanan yang mengaudit aplikasi web, atau pemilik situs yang memeriksa konfigurasi SSL bersama header — alat ini memberikan hasil instan dan dapat ditindaklanjuti.
Cara Kerja Alat Cek HTTP Header
Alat cek header kami melakukan analisis header server lengkap dalam empat langkah, memberikan gambaran menyeluruh tentang konfigurasi HTTP dan postur keamanan situs Anda.
Masukkan URL apa pun (contoh: https://example.com). Alat ini mengirim permintaan HTTP GET ke server target, mengikuti redirect secara otomatis.
Semua HTTP response header ditangkap — termasuk tipe server, content-type, cache-control, set-cookie, dan setiap header kustom yang dikembalikan server.
Enam header keamanan kritis dievaluasi dengan skor berbobot: HSTS (kritis), CSP (kritis), X-Frame-Options (tinggi), X-Content-Type-Options (tinggi), Referrer-Policy (sedang), Permissions-Policy (sedang).
Nilai keamanan (A-F) dihitung berdasarkan header yang ada dan dikonfigurasi dengan benar. Setiap header yang hilang mendapat rekomendasi spesifik untuk implementasi.
Header Keamanan Kritis Dijelaskan
Header keamanan adalah garis pertahanan pertama untuk aplikasi web. Header ini menginstruksikan browser tentang cara menangani konten secara aman, mencegah serangan umum tanpa memerlukan perubahan pada kode aplikasi Anda. Alat cek header keamanan kami mengevaluasi enam header esensial berikut.
Memaksa semua koneksi menggunakan HTTPS, mencegah SSL stripping dan serangan man-in-the-middle. Sertakan max-age=31536000; includeSubDomains; preload untuk perlindungan maksimal.
Mengontrol sumber daya mana (script, style, gambar) yang boleh dimuat di halaman Anda. Mencegah serangan XSS dan injeksi data. Mulai dengan Content-Security-Policy-Report-Only untuk menguji sebelum diterapkan.
Mencegah situs Anda disematkan dalam iframe, memblokir serangan clickjacking. Atur ke DENY atau SAMEORIGIN. Sedang digantikan oleh direktif frame-ancestors dari CSP.
Mencegah MIME-type sniffing dengan memaksakan tipe konten yang dideklarasikan. Selalu atur ke nosniff. Mengurangi risiko drive-by download dan eksekusi script dari file yang salah tipe.
Mengontrol berapa banyak informasi referrer yang dikirim saat navigasi keluar. Nilai direkomendasikan: strict-origin-when-cross-origin atau no-referrer untuk privasi maksimal.
Mengontrol fitur dan API browser mana (kamera, mikrofon, geolokasi, pembayaran) yang dapat digunakan di halaman. Nonaktifkan fitur yang tidak Anda gunakan untuk mengurangi permukaan serangan.
Memahami Nilai Header Keamanan
Alat cek header server kami memberikan nilai huruf berdasarkan skor berbobot dari enam header keamanan. Header kritis (HSTS, CSP) memiliki bobot tertinggi, diikuti header prioritas tinggi (X-Frame-Options, X-Content-Type-Options), dan header prioritas sedang (Referrer-Policy, Permissions-Policy).
Nilai A (90-100) berarti keamanan sangat baik dengan semua header utama terkonfigurasi. Nilai B (75-89) menunjukkan keamanan baik dengan celah kecil. Nilai C (60-74) menunjukkan perlindungan sedang yang perlu perbaikan. Nilai D (40-59) berarti keamanan lemah dengan banyak header yang hilang. Nilai F (0-39) menunjukkan keamanan buruk yang memerlukan tindakan segera.
Referensi Header HTTP Respons Umum
Selain header keamanan, server web mengembalikan banyak HTTP response header lainnya yang mengontrol caching, pengiriman konten, autentikasi, dan lainnya. Memahami header ini penting untuk debugging, optimasi performa, dan konfigurasi server yang benar.
Tipe MIME dari isi respons (misalnya text/html, application/json). Header ini memberitahu browser cara menafsirkan data yang diterima.
Algoritma kompresi yang digunakan (gzip, br, deflate). Kompresi Brotli (br) memberikan rasio terbaik untuk aset web modern.
Software web server (Apache, Nginx, Cloudflare). Sebaiknya sembunyikan versi untuk mengurangi risiko keamanan dari eksploitasi yang diketahui.
Framework aplikasi (Express, PHP, ASP.NET). Disarankan untuk menghapus header ini agar tidak mengekspos teknologi yang digunakan.
Direktif caching (max-age, no-cache, no-store, public, private). Konfigurasi yang tepat meningkatkan performa dan mengurangi beban server.
Pengenal unik untuk versi sumber daya tertentu. Digunakan untuk validasi cache — browser mengirim ETag untuk memeriksa apakah sumber daya berubah.
Tanggal sumber daya terakhir diubah. Bersama ETag, memungkinkan conditional request untuk menghemat bandwidth.
Header yang digunakan untuk menentukan variasi cache (Accept-Encoding). Penting untuk CDN agar menyajikan versi yang tepat ke setiap klien.
Mengapa Header Keamanan Penting
Header keamanan HTTP membentuk strategi defense-in-depth yang melindungi dari berbagai macam serangan web. Bahkan jika aplikasi Anda memiliki kerentanan, header yang dikonfigurasi dengan benar dapat mencegah eksploitasi.
Cross-Site Scripting (XSS)
CSP mencegah script tidak sah dijalankan, bahkan jika penyerang menyuntikkan kode berbahaya ke halaman Anda. Serangan XSS adalah salah satu ancaman web paling umum.
Serangan Clickjacking
X-Frame-Options dan CSP frame-ancestors menghentikan penyerang dari menyematkan situs Anda dalam iframe tak terlihat untuk menipu pengguna agar mengklik elemen tersembunyi.
SSL Stripping / MITM
HSTS memaksa koneksi HTTPS, mencegah serangan downgrade yang mencegat lalu lintas HTTP yang tidak terenkripsi. Lindungi pengguna Anda dengan sertifikat SSL yang valid.
MIME-Type Sniffing
X-Content-Type-Options menghentikan browser menebak tipe konten, mencegah serangan drive-by download. Selalu atur ke nosniff.
Kebocoran Informasi
Referrer-Policy mengontrol informasi URL apa yang dibagikan ketika pengguna menavigasi keluar dari situs Anda. Lindungi privasi pengguna dan data internal.
Penyalahgunaan Fitur
Permissions-Policy membatasi akses ke API browser sensitif seperti kamera, mikrofon, dan geolokasi. Nonaktifkan yang tidak digunakan.
Cara Menambahkan Header Keamanan ke Website Anda
Setelah menjalankan cek header server kami dan mengidentifikasi header yang hilang, Anda dapat menambahkannya melalui konfigurasi web server, framework aplikasi, atau pengaturan CDN. Berikut metode yang paling umum.
Konfigurasi Nginx
Tambahkan header di blok server Nginx: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; dan add_header X-Frame-Options "SAMEORIGIN"; serta add_header X-Content-Type-Options "nosniff";
Apache (.htaccess)
Gunakan mod_headers di file .htaccess: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" dan Header always set X-Frame-Options "SAMEORIGIN" serta Header always set X-Content-Type-Options "nosniff"
Cloudflare (Transform Rules)
Cloudflare memungkinkan Anda menambahkan header keamanan melalui Transform Rules (HTTP Response Header Modification) atau Page Rules tanpa menyentuh server asal. Ini mencakup semua respons yang di-cache dan tidak di-cache secara global.
Next.js / Vercel
Tambahkan header di next.config.js menggunakan fungsi headers(), atau deploy ke Vercel dengan konfigurasi header vercel.json. Aplikasi Express.js dapat menggunakan middleware helmet untuk pengaturan satu baris.
Alat Jaringan & Keamanan Terkait
Gabungkan alat cek HTTP header dengan alat terkait berikut untuk analisis keamanan web dan server yang menyeluruh.
Periksa validitas sertifikat SSL, tanggal kedaluwarsa, dan rantai sertifikat.
Periksa record DNS termasuk A, AAAA, CNAME, MX, NS, dan TXT.
Cari detail alamat IP termasuk lokasi dan penyedia.
Cek port yang terbuka pada server atau IP.
Deteksi CMS, web server, dan teknologi yang digunakan website.
Periksa autentikasi email SPF dan jumlah DNS lookup.
Periksa apakah IP Anda masuk daftar hitam email (DNSBL).
Analisis dan periksa tautan internal dan eksternal halaman web.