Проверка HTTP-заголовков
Анализ HTTP-заголовков ответа, конфигурации безопасности, цепочек редиректов и поведения сервера для любого URL.
Что такое HTTP-заголовки?
HTTP-заголовки — это пары ключ-значение, передаваемые между браузером и веб-сервером с каждым запросом и ответом. Они несут важные метаданные: тип контента, инструкции кэширования, политики безопасности, токены аутентификации и многое другое.
Заголовки ответа управляют тем, как браузеры отображают страницы, кэшируют ресурсы и применяют политики безопасности. Неправильно настроенный заголовок может вызвать проблемы с производительностью, уязвимости безопасности или сбои в работе. Поэтому проверка заголовков — базовая часть веб-разработки и администрирования серверов.
Распространённые заголовки включают Content-Type (сообщает браузеру формат данных), Cache-Control (время кэширования ресурсов) и Set-Cookie (хранит данные сессии).
Основные заголовки безопасности
Заголовки безопасности указывают браузерам, как обращаться с содержимым вашего сайта. Отсутствующие заголовки делают пользователей уязвимыми к атакам: межсайтовый скриптинг, кликджекинг, инъекция данных.
Strict-Transport-Security (HSTS)
Указывает браузерам подключаться только через HTTPS, даже если пользователь набрал http://. Предотвращает атаки SSL stripping. max-age=31536000; includeSubDomains
Content-Security-Policy (CSP)
Самый мощный заголовок безопасности. Определяет одобренные источники скриптов, стилей, изображений и других ресурсов. Блокирует встроенные скрипты и несанкционированный внешний контент, значительно затрудняя XSS-атаки.
X-Content-Type-Options
Установите значение nosniff чтобы запретить браузерам угадывать MIME-тип. Без этого браузеры могут выполнять загруженные файлы как скрипты.
Referrer-Policy
Контролирует объём URL-информации, передаваемой при переходе с вашего сайта. strict-origin-when-cross-origin — хорошее значение по умолчанию: отправляет origin для кросс-доменных запросов и полный URL для запросов в пределах домена.
Часто задаваемые вопросы
Мониторь заголовки API непрерывно
Проверить заголовки один раз полезно. Мониторинг 24/7 ловит регрессии раньше пользователей. PulseAPI проверяет эндпоинты каждые 10 секунд и предупреждает при изменениях.