Інструменти мережевої діагностики

Перевірка заголовків HTTP

Перевірте заголовки відповіді, перенаправлення та безпеку

esc
Ваш IP 8.8.8.8 або google.com

DNS та записи

Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNS

Доставлюваність пошти

Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLS

Мережа та веб

Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкриті

Домен

Пошук WHOIS Реєстраційні дані для доменів, IP та ASN

Що таке HTTP-заголовки відповіді?

HTTP-заголовки відповіді показують, як поводиться вебсервер: який код статусу він повертає, куди переадресовує, яке ПЗ використовує та які заголовки безпеки надсилає. Відсутні заголовки на кшталт HSTS, Content-Security-Policy чи X-Frame-Options залишають сайти вразливими до атак пониження, ін’єкцій і клікджекінгу. IPeek проходить весь ланцюжок переадресацій і оцінює відповідь за ключовими заголовками безпеки.

Як працюють HTTP-заголовки і коди статусу

Кожна HTTP-відповідь починається з коду статусу й набору заголовків, перш ніж надійде тіло сторінки. Код статусу повідомляє клієнту, що сталося: 200 означає успіх, 301 і 302 — що ресурс переміщено, 404 — не знайдено, а 5xx — що сервер зазнав збою. Заголовки несуть метадані, як-от Content-Type, Server, Cache-Control, і директиви безпеки, що вказують браузеру, як обробляти сторінку. IPeek запитує URL, фіксує ці заголовки точно так, як їх надіслав сервер, і проходить кожну переадресацію, тож ви бачите повний шлях до кінцевої відповіді.

Як читати результати заголовків і переадресацій

Спершу підтвердьте, що кінцевий код статусу — той, на який ви очікуєте, зазвичай 200 для живої сторінки. Потім пройдіть ланцюжок переадресацій: чисте налаштування переадресовує HTTP на HTTPS і будь-який неканонічний хост на канонічний за якомога меншу кількість кроків, адже кожна зайва переадресація додає затримку. Стежте за циклами переадресацій або ланцюжком, що приводить на хибний хост. Заголовок Server показує використовуване ПЗ, а оцінка заголовків безпеки одразу показує, які захисні заголовки присутні, а яких бракує.

Ключові заголовки безпеки та поширені прогалини

Strict-Transport-Security (HSTS) змушує браузери використовувати HTTPS, запобігаючи атакам пониження. Content-Security-Policy обмежує, звідки можуть завантажуватися скрипти й ресурси, — це найсильніший захист від міжсайтового скриптингу. X-Frame-Options або директива CSP frame-ancestors блокує клікджекінг, контролюючи, хто може вбудовувати вашу сторінку. X-Content-Type-Options: nosniff зупиняє вгадування MIME-типу. Найпоширеніша прогалина — сайт, що не віддає жодного з цих заголовків, залишаючи браузер без додаткового захисту. Додайте їх на вебсервері чи CDN, а потім перевірте знову, щоб підтвердити, що вони з’являються в живій відповіді.

Коли виконувати перевірку HTTP-заголовків

Перевіряйте заголовки після розгортання, після зміни CDN чи зворотного проксі, і щоразу, коли посилюєте безпеку сайту, адже саме в ці моменти заголовки додаються, видаляються чи перевизначаються. Це найшвидший спосіб підтвердити, що переадресація з HTTP на HTTPS справді працює, налагодити неочікуваний ланцюжок переадресацій або переконатися, що налаштований вами заголовок безпеки доходить до реальних браузерів, а не зрізається десь на шляху доставки.

Поширені запитання

Що показує перевірка HTTP-заголовків?

Вона показує код статусу, ланцюжок переадресацій, серверне ПЗ та заголовки безпеки, які повертає сайт. Ви бачите, чи URL переадресовує правильно, скільки кроків це займає, який сервер відповідає та які захисні заголовки на кшталт HSTS і Content-Security-Policy присутні чи відсутні. Це робить її швидкою діагностикою як проблем маршрутизації, так і прогалин безпеки.

Що таке HSTS і чому це важливо?

HTTP Strict-Transport-Security — це заголовок, який вказує браузерам підключатися лише через HTTPS протягом заданого періоду. Це важливо, бо запобігає атакам пониження та «людина посередині», коли зловмисник примушує до незахищеного з’єднання HTTP. Щойно браузер бачить HSTS, він відмовляється від звичайного HTTP до цього хоста, доки політика не закінчиться, закриваючи реальне вікно атаки.

Чому в мене на сайті так багато переадресацій?

Ланцюжки переадресацій зазвичай накопичуються, коли окремі правила кожне виправляє щось одне: HTTP на HTTPS, non-www на www і нормалізацію кінцевої косої риски. Кожен крок додає затримку й шанс на помилку. Згорніть їх в одну переадресацію на кінцевий канонічний URL, де це можливо, і стежте за циклами, де два правила пересилають запит туди-сюди.

Які заголовки безпеки має мати кожен сайт?

Щонайменше надсилайте Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options: nosniff і захист від кадрування через X-Frame-Options чи CSP frame-ancestors. HSTS примушує HTTPS, CSP обмежує ін’єкцію скриптів, nosniff зупиняє плутанину з MIME, а захист від кадрування блокує клікджекінг. Разом вони покривають найпоширеніші класи атак на стороні браузера директивами, які ви налаштовуєте один раз на сервері чи CDN.

Яка різниця між переадресацією 301 і 302?

301 — це постійна переадресація, а 302 — тимчасова. 301 повідомляє браузерам і пошуковим системам, що ресурс переміщено назавжди, тож вони оновлюють закладки й передають сигнали ранжування на новий URL. 302 каже, що переміщення тимчасове, тож клієнти продовжують використовувати початковий URL. Використовуйте 301 для канонічних і HTTPS-переадресацій.

Пов'язані інструменти

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어