Проверка безопасности сайта — Security Headers

Проверьте заголовки безопасности вашего сайта: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Permissions-Policy и другие. Получите оценку и рекомендации по улучшению.

Попробовать бесплатно →

Ключевые заголовки безопасности

HSTS — принудительный HTTPS
CSP — защита от XSS и инъекций
X-Frame-Options — защита от clickjacking
X-Content-Type-Options — запрет MIME sniffing
Referrer-Policy — контроль реферера
Permissions-Policy — контроль API браузера

Зачем проверять

Неправильно настроенные заголовки — одна из самых частых причин уязвимостей. OWASP рекомендует использовать все перечисленные заголовки. Мы проверяем наличие и корректность каждого.

🛡

ЗаголовкиCSP, HSTS, X-Frame-Options и др.

🔒

SSL/TLSШифрование и сертификат

🔧

КонфигурацияСерверные настройки и утечки

🎯

Оценка A-FОбщий балл безопасности

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIME sniffing). Оценка от A до F показывает общий уровень защиты.

🛡

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

🔒

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

🔎

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

📋

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Частые ошибки

❌

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.

❌

Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.

❌

Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.

❌

X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.

❌

Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

✓

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.

✓

Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.

✓

Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.

✓

Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.

✓

Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Часто задаваемые вопросы

Какие заголовки обязательны?

HSTS, X-Frame-Options и X-Content-Type-Options — минимум. CSP и Permissions-Policy — крайне рекомендованы.

Как добавить заголовки?

Через конфигурацию веб-сервера (nginx/Apache) или через приложение. Мы показываем примеры конфигурации для каждого заголовка.