Инструменты сетевой диагностики

Проверка HTTP-заголовков

Изучите заголовки ответа, редиректы и безопасность

esc
Ваш IP 8.8.8.8 или google.com

DNS и записи

Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNS

Доставляемость почты

Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLS

Сеть и веб

Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открыты

Домен

Поиск WHOIS Регистрационные данные для доменов, IP и ASN

Что такое HTTP-заголовки ответа?

HTTP-заголовки ответа раскрывают, как ведёт себя веб-сервер: какой код состояния он возвращает, куда перенаправляет, какое ПО использует и какие заголовки усиления безопасности отправляет. Отсутствие заголовков вроде HSTS, Content-Security-Policy или X-Frame-Options оставляет сайты открытыми для атак понижения, инъекций и кликджекинга. IPeek проходит всю цепочку редиректов и оценивает ответ по ключевым заголовкам безопасности.

Как работают HTTP-заголовки и коды состояния

Каждый HTTP-ответ начинается с кода состояния и набора заголовков перед телом страницы. Код состояния сообщает клиенту, что произошло: 200 означает успех, 301 и 302 — что ресурс перемещён, 404 — не найдено, а 5xx — что сервер дал сбой. Заголовки несут метаданные, такие как Content-Type, Server, Cache-Control и директивы безопасности, которые указывают браузеру, как обращаться со страницей. IPeek запрашивает URL, фиксирует эти заголовки ровно так, как их отправил сервер, и проходит каждый редирект, чтобы вы видели весь путь до финального ответа.

Как читать результаты по заголовкам и редиректам

Сначала убедитесь, что финальный код состояния — тот, что вы ожидаете, обычно 200 для живой страницы. Затем пройдите цепочку редиректов: чистая настройка перенаправляет HTTP на HTTPS и любой неканонический хост на канонический за минимальное число переходов, ведь каждый лишний редирект добавляет задержку. Следите за петлями редиректов или цепочкой, ведущей не на тот хост. Заголовок Server раскрывает используемое ПО, а оценка по заголовкам безопасности сразу показывает, какие защитные заголовки присутствуют, а какие отсутствуют.

Ключевые заголовки безопасности и частые пробелы

Strict-Transport-Security (HSTS) заставляет браузеры использовать HTTPS, предотвращая атаки понижения. Content-Security-Policy ограничивает, откуда могут загружаться скрипты и ресурсы, — сильнейшая защита от межсайтового скриптинга. X-Frame-Options или директива CSP frame-ancestors блокирует кликджекинг, контролируя, кто может встраивать вашу страницу. X-Content-Type-Options: nosniff останавливает MIME-сниффинг. Самый частый пробел — сайт, не отдающий ни одного из них, оставляя браузер без дополнительной защиты. Добавьте их на веб-сервере или CDN, затем перепроверьте, что они появляются в живом ответе.

Когда запускать проверку HTTP-заголовков

Проверяйте заголовки после развёртывания, после смены CDN или обратного прокси и всякий раз, когда усиливаете защиту сайта, ведь именно тогда заголовки добавляются, теряются или переопределяются. Это самый быстрый способ убедиться, что редирект с HTTP на HTTPS действительно работает, отладить неожиданную цепочку редиректов или проверить, что настроенный вами заголовок безопасности доходит до реальных браузеров, а не вырезается где-то на пути доставки.

Часто задаваемые вопросы

Что показывает проверка HTTP-заголовков?

Она показывает код состояния, цепочку редиректов, серверное ПО и заголовки безопасности, которые возвращает сайт. Вы видите, правильно ли перенаправляется URL, сколько переходов это занимает, какой сервер отвечает и какие защитные заголовки вроде HSTS и Content-Security-Policy присутствуют или отсутствуют. Это делает её быстрым средством диагностики как проблем маршрутизации, так и пробелов в безопасности.

Что такое HSTS и почему он важен?

HTTP Strict-Transport-Security — это заголовок, который указывает браузерам в течение заданного периода подключаться только по HTTPS. Он важен, потому что предотвращает атаки понижения и «человек посередине», при которых злоумышленник принуждает к небезопасному HTTP-соединению. Увидев HSTS, браузер отказывается от обычного HTTP к этому хосту, пока политика не истечёт, закрывая реальное окно атаки.

Почему на моём сайте так много редиректов?

Цепочки редиректов обычно накапливаются, когда отдельные правила исправляют по одному аспекту: HTTP на HTTPS, non-www на www и нормализацию завершающего слеша. Каждый переход добавляет задержку и шанс ошибки. По возможности объедините их в один редирект на финальный канонический URL и следите за петлями, где два правила гоняют запрос туда-сюда.

Какие заголовки безопасности должны быть на каждом сайте?

Как минимум отправляйте Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options: nosniff и защиту от встраивания через X-Frame-Options или CSP frame-ancestors. HSTS обеспечивает HTTPS, CSP ограничивает инъекцию скриптов, nosniff устраняет путаницу MIME, а защита фреймов блокирует кликджекинг. Вместе они покрывают самые частые классы атак на стороне браузера директивами, которые вы задаёте один раз на сервере или CDN.

В чём разница между редиректом 301 и 302?

301 — это постоянный редирект, а 302 — временный. 301 сообщает браузерам и поисковикам, что ресурс перемещён навсегда, поэтому они обновляют закладки и передают ранжирующие сигналы новому URL. 302 говорит, что перемещение временное, поэтому клиенты продолжают использовать исходный URL. Используйте 301 для канонических и HTTPS-редиректов.

Связанные инструменты

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어