Анализ безопасности сайта: заголовки, HTTPS, cookies и проверка раскрытия информации
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIME sniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.Инструмент проверки безопасности анализирует заголовки HTTP-ответа сервера и оценивает уровень защиты сайта. Проверяются ключевые заголовки безопасности: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy и Permissions-Policy.
Используйте этот инструмент для аудита заголовков безопасности перед запуском сайта, после миграции сервера или в рамках регулярных проверок. Каждый заголовок оценивается отдельно, и вы получаете общую оценку от A+ до F. Инструмент выявляет типичные ошибки конфигурации: отсутствие HSTS, слишком разрешающий CSP, отсутствие защиты от кликджекинга и устаревший X-XSS-Protection.
Для более глубокого анализа используйте наш SSL-чекер для проверки TLS-конфигурации и справочник HTTP-заголовков для понимания назначения каждого заголовка. Регулярный мониторинг заголовков безопасности помогает соответствовать рекомендациям OWASP и защищает пользователей от XSS, кликджекинга и инъекций данных.
Топ-5 обязательных заголовков: Content-Security-Policy (защита от XSS), Strict-Transport-Security (принудительный HTTPS), X-Content-Type-Options (nosniff), X-Frame-Options (защита от кликджекинга), Permissions-Policy (ограничение API).
В nginx добавьте add_header в блок server. В Apache используйте Header set в .htaccess или конфиге. В PHP — функция header(). Для Cloudflare — правила Transform Rules. Проверьте результат нашим инструментом после настройки.
Высокий рейтинг безопасности означает, что ваш сайт защищён от основных веб-уязвимостей. Это повышает доверие пользователей, улучшает SEO (Google учитывает HTTPS и заголовки), и снижает риск взлома и утечки данных.
CSP — заголовок, определяющий, откуда браузер может загружать ресурсы (скрипты, стили, изображения). Основная защита от XSS-атак. Пример: default-src 'self' блокирует все внешние ресурсы.
Используйте заголовок X-Frame-Options: DENY или SAMEORIGIN для предотвращения встраивания вашего сайта в iframe на чужих доменах. Современная альтернатива — CSP с директивой frame-ancestors.
Заголовок X-Content-Type-Options: nosniff запрещает браузеру «угадывать» MIME-тип файла. Без него браузер может интерпретировать текстовый файл как скрипт, что создаёт уязвимость для MIME-sniffing атак.
Permissions-Policy (ранее Feature-Policy) — заголовок, контролирующий доступ к API браузера: камера, микрофон, геолокация, автовоспроизведение видео. Рекомендуется отключать неиспользуемые API для минимизации поверхности атаки.