Сканер безопасности
Анализ безопасности сайта: заголовки, HTTPS, cookies и проверка раскрытия информации
Security-сканер проверяет все критичные HTTP-заголовки защиты: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, CORS. Выдаёт grade A–F и список уязвимостей. Проверяет отсутствие smoking-gun ошибок: server leaks, missing HSTS, clickjacking, MIME sniffing, mixed content.
Хотите еженедельную перепроверку?
Оставьте email — мы будем перезапускать эту проверку каждые 7 дней и предупредим, если что-то ухудшилось (SSL, DNS, headers). Бесплатно.
Отписаться — одним кликом из любого письма. Никому не передаём адрес. Подписываясь, соглашаетесь с политикой конфиденциальности.
Почему нам доверяют
Как это работает
Введите URL сайта
Анализ заголовков безопасности
Получите оценку A–F
Что проверяет анализ безопасности?
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Анализ заголовков
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Проверка SSL
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Обнаружение утечек
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Отчёт с рекомендациями
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
Кому это нужно
Специалисты по безопасности
аудит HTTP-заголовков
DevOps
проверка конфигурации
Разработчики
CSP и HSTS настройка
Аудиторы
соответствие стандартам
Частые ошибки
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Лучшие практики
Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.Получите больше с бесплатным аккаунтом
История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Проверка безопасности сайта
Инструмент проверки безопасности анализирует заголовки HTTP-ответа сервера и оценивает уровень защиты сайта. Проверяются ключевые заголовки безопасности: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy и Permissions-Policy.
Используйте этот инструмент для аудита заголовков безопасности перед запуском сайта, после миграции сервера или в рамках регулярных проверок. Каждый заголовок оценивается отдельно, и вы получаете общую оценку от A+ до F. Инструмент выявляет типичные ошибки конфигурации: отсутствие HSTS, слишком разрешающий CSP, отсутствие защиты от кликджекинга и устаревший X-XSS-Protection.
Для более глубокого анализа используйте наш SSL-чекер для проверки TLS-конфигурации и справочник HTTP-заголовков для понимания назначения каждого заголовка. Регулярный мониторинг заголовков безопасности помогает соответствовать рекомендациям OWASP и защищает пользователей от XSS, кликджекинга и инъекций данных.
Больше по теме
Часто задаваемые вопросы
Какие заголовки безопасности самые важные?
Топ-5 обязательных заголовков: Content-Security-Policy (защита от XSS), Strict-Transport-Security (принудительный HTTPS), X-Content-Type-Options (nosniff), X-Frame-Options (защита от кликджекинга), Permissions-Policy (ограничение API).
Как добавить заголовки безопасности?
В nginx добавьте add_header в блок server. В Apache используйте Header set в .htaccess или конфиге. В PHP — функция header(). Для Cloudflare — правила Transform Rules. Проверьте результат нашим инструментом после настройки.
Что даёт высокий рейтинг безопасности?
Высокий рейтинг безопасности означает, что ваш сайт защищён от основных веб-уязвимостей. Это повышает доверие пользователей, улучшает SEO (Google учитывает HTTPS и заголовки), и снижает риск взлома и утечки данных.
Что такое Content-Security-Policy?
CSP — заголовок, определяющий, откуда браузер может загружать ресурсы (скрипты, стили, изображения). Основная защита от XSS-атак. Пример: default-src 'self' блокирует все внешние ресурсы.
Как защитить сайт от кликджекинга?
Используйте заголовок X-Frame-Options: DENY или SAMEORIGIN для предотвращения встраивания вашего сайта в iframe на чужих доменах. Современная альтернатива — CSP с директивой frame-ancestors.
Зачем нужен X-Content-Type-Options?
Заголовок X-Content-Type-Options: nosniff запрещает браузеру «угадывать» MIME-тип файла. Без него браузер может интерпретировать текстовый файл как скрипт, что создаёт уязвимость для MIME-sniffing атак.
Что такое Permissions-Policy?
Permissions-Policy (ранее Feature-Policy) — заголовок, контролирующий доступ к API браузера: камера, микрофон, геолокация, автовоспроизведение видео. Рекомендуется отключать неиспользуемые API для минимизации поверхности атаки.
Связанные гайды
Развёрнутые материалы по теме из базы знаний.
Security-аудит по расписанию
Включите автоматические проверки HTTPS, заголовков, cookies — получайте отчёт раз в неделю или при изменениях.