Что такое проверка HTTP-заголовков?
Проверка HTTP-заголовков — это инструмент, который отправляет запрос к любому URL и отображает HTTP-заголовки ответа, возвращённые сервером. Он показывает метаданные: тип контента, правила кэширования, серверное ПО и заголовки безопасности — HSTS, CSP, X-Frame-Options.
Наш инструмент не просто показывает заголовки — он оценивает безопасность вашего сайта по шкале от A до F и даёт конкретные рекомендации по улучшению. Это помогает администраторам и разработчикам быстро определить слабые места в настройке сервера.
HTTP-заголовки — невидимая часть каждого веб-запроса. Они контролируют кэширование, шифрование, защиту от атак и многое другое. Правильная настройка заголовков критически важна для безопасности и производительности.
Ключевые заголовки безопасности
Заголовки безопасности — это директивы веб-сервера, которые инструктируют браузер, как безопасно обрабатывать контент. Вот шесть самых важных заголовков:
Принуждает браузер использовать только HTTPS-подключение. Предотвращает атаки SSL-stripping и перехват трафика. Рекомендуется: max-age=31536000; includeSubDomains; preload.
Определяет, какие ресурсы (скрипты, стили, шрифты) могут загружаться на странице. Предотвращает XSS-атаки, блокируя выполнение неавторизованных скриптов.
Защищает от кликджекинга, запрещая загрузку сайта в iframe. Значения: DENY (полный запрет) или SAMEORIGIN (только с того же домена).
Предотвращает MIME-sniffing — браузер не будет «угадывать» тип файла. Единственное значение: nosniff. Защищает от исполнения вредоносных файлов.
Контролирует, какая информация передаётся в заголовке Referer при переходах. Рекомендуется strict-origin-when-cross-origin для баланса между функциональностью и конфиденциальностью.
Ограничивает доступ к API браузера — камере, микрофону, геолокации. Отключите ненужные API для снижения поверхности атаки.
Система оценки заголовков безопасности
Наша система оценки анализирует шесть критических заголовков безопасности с весовыми коэффициентами:
Отличная безопасность — все основные заголовки настроены правильно. HSTS, CSP, X-Frame-Options, X-Content-Type-Options активны.
Хорошая безопасность с незначительными пробелами. Основные заголовки на месте, но может не хватать Permissions-Policy или Referrer-Policy.
Умеренная защита, требующая улучшения. Часто отсутствует CSP или HSTS. Рекомендуется добавить недостающие заголовки.
Слабая или плохая безопасность — несколько критических заголовков отсутствуют. Требуется немедленное внимание к настройке сервера.
Справочник HTTP-заголовков ответа
Помимо заголовков безопасности, серверы возвращают множество других заголовков, которые влияют на поведение и производительность сайта:
Серверные и контентные заголовки: Server (идентификация ПО), Content-Type (тип контента), Content-Length (размер ответа), Content-Encoding (сжатие gzip/br). Рекомендуется скрывать заголовок Server для уменьшения раскрытия информации.
Заголовки кэширования и производительности: Cache-Control (правила кэширования), ETag (версия ресурса), Last-Modified (дата изменения), Expires (срок действия кэша). Правильное кэширование существенно ускоряет загрузку сайта и снижает нагрузку на сервер.
Почему заголовки безопасности важны
Заголовки безопасности — первая линия защиты веб-приложения. Без них ваш сайт уязвим для множества атак:
Без HSTS злоумышленник может выполнить SSL-stripping атаку, перенаправив пользователя с HTTPS на HTTP для перехвата данных. Без CSP ваш сайт уязвим к XSS-атакам — злоумышленник может внедрить вредоносный скрипт. Без X-Frame-Options возможна атака кликджекинга — ваш сайт загружается в скрытый iframe.
По данным исследований, менее 10% сайтов используют все рекомендуемые заголовки безопасности. Используйте наш инструмент для проверки вашего SSL-сертификата и HTTP-заголовков. Проверьте также DNS-записи и SPF/DMARC для полной картины безопасности домена.
Как добавить заголовки безопасности
Заголовки безопасности можно добавить через конфигурацию веб-сервера, фреймворк приложения или CDN:
Nginx: добавьте директивы add_header в блок server: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; и аналогично для CSP, X-Frame-Options и других.
Apache (.htaccess): используйте Header set или Header always set для каждого заголовка. Убедитесь, что модуль mod_headers включён.
Cloudflare: используйте Transform Rules для добавления заголовков ответа без изменения конфигурации сервера. Подходит для сайтов за Cloudflare CDN.
Next.js / Vercel: настройте массив headers() в next.config.js для добавления заголовков ко всем маршрутам.
Связанные инструменты безопасности и сети
Используйте наши другие бесплатные инструменты для комплексной проверки:
Проверьте SSL-сертификат, цепочку доверия и шифрование.
Проверьте, открыты ли порты HTTPS (443) и HTTP (80) на сервере.
Проверьте SPF-запись домена для защиты email от спуфинга.
Анализируйте DMARC-политику домена для защиты почты.
Проверьте DNS-записи и конфигурацию домена.
Проверьте доступность сервера и измерьте задержку.