Этот инструмент аудирует соответствие заголовков ответа HTTP требованиям безопасности, анализируя необработанные заголовки, которые вы вставляете — он никогда не делает сетевой запрос, поэтому подходит для внутренних/за-авторизацией/CORS-ограниченных сайтов, артефактов CI или примеров документации.
Чем отличается от HTTP Headers Analyzer: тот инструмент получает URL вживую и проверяет лишь присутствие заголовка (булево). Этот делает глубокие проверки на уровне значения по более полному набору.
Что проверяет (12 заголовков, уровень значения):
- Критично (отсутствует или неверно = высокий риск): HSTS (max-age ≥ 31536000, includeSubDomains, preload), Content-Security-Policy (без unsafe-inline/unsafe-eval/подстановки, с default-src или script-src), X-Content-Type-Options (должен быть nosniff).
- Предупреждение (рекомендуется): X-Frame-Options (DENY/SAMEORIGIN; отмечает, что CSP frame-ancestors замещает его), Referrer-Policy (не unsafe-url/no-referrer-when-downgrade), Permissions-Policy.
- Info (доп. изоляционная защита): Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy, X-Permitted-Cross-Domain-Policies, Clear-Site-Data, Cache-Control.
Формат ввода: необработанные заголовки ответа HTTP — по Имя: Значение в строке, как из curl -I, вкладки Network DevTools браузера или HTTP-дампов. Строки статуса (HTTP/1.1 200 OK) и пустые строки пропускаются автоматически.
Оценка (вычитание из 100): −20 за критичное, −8 за предупреждение. Буквенная оценка от A+ до F. Каждая находка показывает текущее значение, что не так, и готовое к копированию рекомендуемое значение заголовка.
Инструмент проверяет только безопасные заголовки — не заголовки раскрытия информации (Server/X-Powered-By) и не атрибуты cookie. Используйте для усиления заголовочной защиты сайта перед релизом.