این ابزار درست کار نمی‌کند؟

دربارهٔ ابزار «بررسی سرآیندهای امنیتی HTTP آنلاین»

این ابزار یک URL را دریافت می‌کند و هدرهای امنیتی HTTP که برمی‌گرداند را بررسی می‌کند: Content-Security-Policy، Strict-Transport-Security، X-Frame-Options، X-Content-Type-Options، Referrer-Policy، Permissions-Policy و بیشتر. ابزار به پاسخ امتیاز می‌دهد و توضیح می‌دهد کدام هدرها گمشده یا ضعیف هستند.

هدرهای امنیتی یک راه ارزان و مؤثر برای سخت‌تر کردن یک وب‌سایت هستند. آنها XSS، clickjacking، مسائل محتوای ترکیبی، ارجاع‌های نشت‌کننده، و ویژگی‌های پرخطر مرورگر را که به طور پیش‌فرض فعال هستند، کاهش می‌دهند.

قبل از راه‌اندازی یک سایت جدید، به عنوان بخشی از حسابرسی‌های منظم، یا هنگام آوردن اسکریپت‌های شخص ثالث به تولید استفاده کنید. سایتی که هدرهای قوی ارسال می‌کند در ابزارهایی مانند Mozilla Observatory و SecurityHeaders.com قابل اعتمادتر به نظر می‌رسد — هر دو پیگیری‌های مفید هستند.

چطور از این ابزار استفاده کنم؟

چطور هدرهای امنیتی HTTP یک سایت را بررسی کنم؟

  1. URL صفحه را وارد کنید

    صفحهٔ //:https را در فیلد «Page URL» قرار دهید. scheme در صورت نبود خودکار اضافه می‌شود. حداکثر ۲۰۴۸ نویسه.

  2. نحوهٔ کاوش

    سرور ما اول HEAD می‌فرستد و اگر مبدأ 405/501 داد به GET می‌رود. ریدایرکت‌ها را دنبال می‌کند، بدنه را خالی می‌کند و هدرهای پاسخ را تحلیل می‌کند — مرورگر شما این درخواست را نمی‌فرستد.

  3. «اجرا» را بزنید

    خروجی شامل finalUrl (بعد ریدایرکت)، httpStatus، scorePercent (presentCount/totalChecks) و rows[] — هر ردیف نام هدر، وضعیت و در صورت وجود مقدارش است.

  4. تفسیر امتیاز

    این تنها شمار هدرهای امنیتی موجود (CSP، HSTS، X-Frame-Options، Referrer-Policy و …) است، نه ممیزی کامل. امتیاز بالا گواهی امنیت نیست — مقدار هر ردیف را برای قوت سیاست بازبینی کنید.

ابزارهای هم‌خانواده