О проверке Security Headers
Security Headers Checker анализирует заголовки безопасности вашего сайта и даёт рекомендации по улучшению защиты.
Проверяемые заголовки:
- Strict-Transport-Security (HSTS) - принудительное использование HTTPS
- Content-Security-Policy (CSP) - защита от XSS и инъекций
- X-Frame-Options - защита от clickjacking
- X-Content-Type-Options - защита от MIME-sniffing
- Referrer-Policy - контроль передачи Referrer
- Permissions-Policy - контроль функций браузера
О сервисе Security Headers
Онлайн-анализ заголовков безопасности HTTP. CSP, HSTS, X-Frame-Options, X-Content-Type-Options. Оценка и рекомендации по усилению защиты.
Часто задаваемые вопросы
HTTP-заголовки, усиливающие безопасность: CSP ограничивает источники скриптов, HSTS принуждает HTTPS, X-Frame-Options защищает от clickjacking.
Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options. CSP — самый мощный, но требует настройки под сайт.
В Nginx — add_header, в Apache — Header set. Для Next.js — next.config.js headers. Начинайте с простых (X-Frame-Options: DENY), CSP настраивайте постепенно.
CSP блокирует скрипты и стили из неразрешённых источников. Добавляйте домены по одному, проверяйте консоль. Используйте report-only для теста.
Security Headers загружает страницу и извлекает заголовки ответа. Альтернатива — DevTools → Network → выберите документ → Headers.
Полезные статьи
Руководства и советы по теме
Связанные инструменты
Другие полезные сервисы reChecker