Verificatore Intestazioni HTTP
Verificatore intestazioni HTTP gratuito per qualsiasi URL. Ispeziona intestazioni server, cache e sicurezza (HSTS, CSP, X-Frame-Options) per revisioni sicurezza e test.
Cos'è il Verificatore Intestazioni HTTP?
Un Verificatore Intestazioni HTTP apre una connessione HTTP o HTTPS reale verso un URL e legge le intestazioni di risposta che il server serve effettivamente. Le intestazioni HTTP sono lo strato di metadati del protocollo (RFC 7230-7237) e portano una quantità sorprendente del comportamento del server: come il contenuto viene memorizzato in cache, quali tipi di contenuto sono ammessi, quale policy cross-origin si applica e, soprattutto, quali intestazioni di sicurezza sono impostate.
Le intestazioni di sicurezza sono la parte che interessa di più. HSTS mantiene un sito su HTTPS, CSP limita quali script possono essere eseguiti, X-Frame-Options blocca il clickjacking e altre proteggono da MIME sniffing, perdite di referrer e downgrade del protocollo. Questo strumento invia la richiesta, legge la risposta, valuta il set di intestazioni di sicurezza rispetto alle linee guida OWASP e Mozilla e mostra il resto delle intestazioni così puoi esaminarle.
Que Sont le Intestazioni HTTP ?
Le intestazioni HTTP sono componenti fondamentali della comunicazione web e fungono da metadati che controllano come browser e server interagiscono. Il nostro Verificatore Intestazioni HTTP si concentra sulle intestazioni di risposta, che rivelano configurazione del server, postura di sicurezza e impostazioni di erogazione contenuti. Le intestazioni di risposta includono direttive di sicurezza (HSTS, CSP, X-Frame-Options), policy di cache (Cache-Control, ETag), specifiche di contenuto (Content-Type, Content-Length) e informazioni server (Server, X-Powered-By).
Le intestazioni HTTP funzionano allo stesso modo su connessioni HTTP (porta 80) e HTTPS (porta 443), ma HTTPS aggiunge crittografia TLS/SSL (RFC 8446) che protegge le intestazioni dall'intercettazione in transito. HTTPS è essenziale per intestazioni di sicurezza come HSTS, che richiedono connessioni HTTPS per funzionare efficacemente. Supporta entrambi i protocolli e gestisce automaticamente la crittografia TLS/SSL per connessioni HTTPS, garantendo analisi accurata delle intestazioni indipendentemente dal protocollo.
Comment Fonctionne l'Analisi intestazioni HTTP
L'analisi delle intestazioni HTTP comporta stabilire connessioni di rete, recuperare risposte HTTP, analizzare dati delle intestazioni e valutare configurazioni di sicurezza. Questo verificatore usa metodi autorevoli basati su standard Internet per fornire informazioni accurate sulle intestazioni:
1. Stabilissement di Connexion e Risoluzione DNS
Lo strumento risolve il nome di dominio target in un indirizzo IP tramite query DNS (record A/AAAA secondo RFC 1035), poi stabilisce una connessione TCP sulla porta 80 (HTTP) o 443 (HTTPS). Per connessioni HTTPS, lo strumento esegue handshake TLS secondo RFC 8446 per stabilire una connessione crittografata prima di inviare richieste HTTP.
Converte le noms di domaine en adresses IP tramite richiestas DNS (enregistrements A/AAAA) secondo RFC 1035.
Stabilisce una connessione TCP vers le port 80 (HTTP) o 443 (HTTPS) per la communication HTTP.
Esegue handshake TLS/SSL secondo RFC 8446 per connessioni HTTPS per stabilire comunicazione crittografata.
Rileva automaticamente il protocollo HTTP o HTTPS dall'URL e gestisce il tipo di connessione appropriato.
Supporta indirizzi IPv4 e IPv6. Per gli indirizzi IP, lo strumento aggiunge automaticamente il protocollo http:// e tenta la connessione. Se HTTP fallisce, prova automaticamente HTTPS come fallback per massima compatibilità.
La verifica del certificato SSL è intenzionalmente disabilitata, così puoi ispezionare le intestazioni su server con certificati autofirmati o altrimenti non validi. Se vuoi valutare il certificato stesso, usa invece il Verificatore SSL.
Le richieste hanno un timeout di 15 secondi per evitare attese indefinite. Se un server non risponde entro questo intervallo, la connessione viene terminata con un messaggio di errore appropriato.
2. Trasmissione richiesta HTTP
Lo strumento invia una richiesta HTTP (generalmente GET o HEAD) au server cible, incluant dei intestazioni di richiesta standard tels que Host, User-Agent, Accept e Connection. Le server elabora la richiesta e genera una risposta HTTP contenant codes di statut, intestazioni di risposta et eventualmente le contenu del corps di risposta.
Invia richieste HTTP con metodo GET o HEAD per recuperare le intestazioni di risposta in modo efficiente. Il metodo HEAD è preferito quando servono solo le intestazioni perché non scarica il body della risposta, risultando più veloce e efficiente in banda.
Invia intestazioni di richiesta simili al browser inclusi User-Agent (Chrome), Accept, Accept-Language, Accept-Encoding, Upgrade-Insecure-Requests, intestazioni Sec-Fetch-*, Cache-Control e Connection per imitare il comportamento reale del browser e garantire un recupero accurato delle intestazioni.
Riceve la risposta HTTP contenant codes di statut, intestazioni di risposta e contenu di corps optionnel.
Gestisce timeout di connessione, errori DNS ed errori HTTP con messaggi appropriati e degradazione controllata.
3. Analisi intestazioni e verifica sicurezza
Le intestazioni di risposta HTTP recuperate vengono analizzate e categorizzate in intestazioni di sicurezza, cache, contenuto, informazioni server, CORS e intestazioni personalizzate. Ogni intestazione viene validata per conformità sintattica secondo RFC 7230-7237 e le intestazioni di sicurezza vengono analizzate secondo OWASP Secure Headers Project e le linee guida Mozilla.
Analyse le intestazioni di risposta HTTP secondo RFC 7230-7237 e extrait noms e valeurs delle intestazioni.
Organizza le intestazioni en catcategorie : Sicurezza, Contenu, Cache, Info server, CORS e intestazioni personalizzati.
Riconosce alternative moderne alle intestazioni, come CSP frame-ancestors al posto di X-Frame-Options. Lo strumento analizza intestazioni tradizionali e moderne, preferendo le implementazioni moderne quando entrambe sono presenti.
Valida la syntaxe dei intestazioni per conformité aux normes HTTP secondo RFC 7230-7237.
Analyse le intestazioni di sicurezza secondo le raccomandazioni OWASP Secure Headers Project e le linee guida Mozilla.
Identifica le intestazioni di sicurezza mancanti indicando dei vulnerabilità e failles di sicurezza potentielles.
Come usare il Verificatore Intestazioni HTTP
Il nostro Verificatore Intestazioni HTTP è pensato per utenti di ogni livello tecnico. Segui questo processo semplice:
-
Passaggio 1: Inserisci un nome di dominio (ad es. example.com), un URL completo (ad es. https://example.com) o un indirizzo IP (IPv4 come 192.168.1.1 o IPv6 come 2001:db8::1). Lo strumento rileva automaticamente tipo di input e protocollo. Per domini senza protocollo, HTTPS è predefinito. Per indirizzi IP, prova prima HTTP, con HTTPS come fallback se HTTP fallisce.
-
Passaggio 2: Completa la verifica CAPTCHA per un uso sicuro e per prevenire abusi automatizzati.
- Passaggio 3: Clicca sul pulsante "VERIFICA INTESTAZIONI". Lo strumento stabilisce la connessione HTTP e recupera le intestazioni.
I risultati includono intestazioni di risposta HTTP complete organizzate per categoria (Sicurezza, Contenuto, Cache, Info server, CORS, Personalizzato), analisi delle intestazioni di sicurezza che confronta le configurazioni con le raccomandazioni OWASP, identificazione delle intestazioni di sicurezza mancanti e raccomandazioni di sicurezza dettagliate. Puoi visualizzare le intestazioni in sezioni organizzate, analizzare configurazioni di sicurezza, copiare valori delle intestazioni o esportare risultati completi in JSON, CSV o TXT.
Quali sono le Intestazioni di Sicurezza criticas ?
Le intestazioni di sicurezza sono intestazioni di risposta HTTP che proteggono siti web e utenti da vari attacchi. Capire queste intestazioni è cruciale per mantenere applicazioni web sicure:
HTTP Strict Transport Security (HSTS)
Intestazione:
Strict-Transport-Security (RFC 6797)Scopo: Spinge i browser a usare connessioni HTTPS, prevenendo attacchi di downgrade del protocollo e man-in-the-middle.
Esempio:
Strict-Transport-Security: max-age=31536000; includeSubDomains
L'assenza di HSTS permette agli attaccanti di retrocedere connessioni HTTPS a HTTP, intercettando dati sensibili. HSTS garantisce che tutte le connessioni usino crittografia, proteggendo credenziali e informazioni personali.
Content Security Policy (CSP)
Intestazione: Content-Security-Policy (RFC 7762)
Scopo: Atténue le attacchi Cross-Site Scripting (XSS) en contrôlant quelles risorse peuvent essere chargées e exécutées.
Esempio: Content-Security-Policy: default-src 'self'; script-src 'self'
L'assenza di CSP rend le sites vulnerabili aux attacchi XSS, permettendo l'injection di scripts malveillants. CSP restreint le chargement di risorse, impedendo l'exécution non autorisée di scripts.
X-Frame-Options
Intestazione:
X-Frame-Options (RFC 7034)Scopo: Prévient le attacchi di clickjacking en contrôlant si le pages peuvent essere affichées nel dei cadres.
Valori:
DENY (pas di cadrage), SAMEORIGIN (solo stessa origine)Esempio:
X-Frame-Options: DENY
La mancanza di X-Frame-Options permette agli attaccanti di incorporare pagine in frame malevoli, ingannando gli utenti per far clic su elementi nascosti.
X-Content-Type-Options
Intestazione:
X-Content-Type-Options: nosniffScopo: Previene attacchi di MIME-type sniffing forzando i browser a rispettare i tipi di contenuto dichiarati.
L'assenza di questa intestazione permette ai browser di indovinare i tipi di contenuto, eseguendo potenzialmente contenuti malevoli come script. La direttiva nosniff garantisce che i browser rispettino i tipi MIME dichiarati.
Referrer-Policy
Intestazione: Referrer-Policy
Scopo: Contrôle la quantité d'informazioni di referrer partagées con le richiestas, proteggendo la privacy utente.
Esempio: Referrer-Policy: strict-origin-when-cross-origin
Contrôle le partage d'informazioni di referrer, impedendo la fuite di parametri URL sensibles vers dei sites tiers.
X-XSS-Protection (Obsoleto)
Intestazione: X-XSS-Protection
Stato: Obsoleto - i browser moderni hanno rimosso il filtraggio XSS
Scopo: Serviva ad attivare il filtraggio XSS del browser, ma questa funzione è stata rimossa dai browser moderni.
Alternativa moderna: Content Security Policy (CSP) offre protezione XSS superiore.
Non fare affidamento su X-XSS-Protection. Implementa invece una Content-Security-Policy rigida. CSP è il modo moderno per bloccare il Cross-Site Scripting e ti dà controllo granulare su quali origini possono eseguire script nel browser.
Expect-CT (Obsoleto)
Intestazione: Expect-CT
Stato: Obsoleto (RFC 9163) - sostituito da la surveillance Certificate Transparency
Scopo: Servait a rilevar dei certificats SSL mal émis tramite le journaux Certificate Transparency.
Nota: Questa intestazione è obsolète e non va usato. La surveillance moderne di certificats utilise directement le journaux Certificate Transparency.
N'implementa pas Expect-CT. Usa plutôt dei services di surveillance Certificate Transparency o dei outils interrogeant directement le journaux CT per la surveillance e la sicurezza dei certificats.
Sistema di punteggio delle intestazioni di sicurezza
Il voto di sicurezza è un punteggio su 100 punti ispirato a securityheaders.com. Ogni intestazione viene verificata per presenza, qualità della configurazione e allineamento alle best practice attuali:
Massimo 25 punti. Punteggio base per presenza (6 punti), bonus per max-age ≥ 1 an (fino a 20 punti), direttiva includeSubDomains (+3 punti) e direttiva preload (+2 punti). Configurazione eccellente con max-age ≥ 31536000, includeSubDomains e preload riceve 25 punti complets.
Massimo 25 punti. Punteggio base per presenza (12 punti), bonus per direttiva default-src (+4 punti), script-src (+3 punti) e usage nonce/hash (+6 punti). Penalità per unsafe-inline (-3 punti) e unsafe-eval (-2 punti). CSP excellente con policy strictes riceve fino a 25 punti.
Massimo 12 punti. DENY riceve 12 punti, SAMEORIGIN 10 punti. CSP frame-ancestors è anche riconosciuto come alternativa moderna e riceve 12 punti. Se mancano entrambi, 0 punti.
Massimo 12 punti. Configurazione corretta con "nosniff" vale 12 punti. Assente o configurata male vale 0-5 punti.
Massimo 13 punti. Configurazione corretta con valeurs di policy standard riceve 13 punti. Politiques plus strictes (strict-origin, strict-origin-when-cross-origin, same-origin, no-referrer) vengono préférées.
Massimo 13 punti. Punteggio base per presenza (5 punti), bonus per funzionalità limitate (fino a 8 punti). Più funzionalità limitate indicano una migliore configurazione di sicurezza.
Scala dei voti delle intestazioni di sicurezza spiegata nel dettaglio
Crediamo nella trasparenza. Capire come la configurazione delle intestazioni di sicurezza si traduce in un voto ti aiuta a prendere decisioni informate sulla postura di sicurezza del tuo sito. Ecco il dettaglio del nostro sistema di punteggio:
Notes dei Intestazioni di Sicurezza (7 niveaux)
Configurazione delle intestazioni di sicurezza quasi perfetta. Tutte le intestazioni critiche sono presenti e configurate correttamente con impostazioni ottimali. HSTS include max-age ≥ 1 anno, includeSubDomains e preload. CSP usa policy rigide con nonce/hash e senza direttive unsafe. Tutte le altre intestazioni sono configurate in modo ottimale. Questo voto indica un'implementazione delle intestazioni di sicurezza a livello enterprise.
Configurazione eccellente delle intestazioni di sicurezza con margini di miglioramento minori. La maggior parte delle intestazioni critiche è presente e ben configurata. Può avere lievi carenze come CSP senza nonce/hash, HSTS senza preload o piccole ottimizzazioni di configurazione. Questo voto indica un'implementazione solida adatta agli ambienti di produzione.
Buona configurazione delle intestazioni di sicurezza con margine di miglioramento. La maggior parte delle intestazioni di sicurezza è presente ma può avere configurazioni subottimali. Problemi comuni: CSP con direttive unsafe-inline o unsafe-eval, HSTS con max-age insufficiente o intestazioni raccomandate mancanti come Permissions-Policy. Questo voto indica sicurezza accettabile ma richiede ottimizzazione per una protezione migliore.
Configurazione discreta delle intestazioni di sicurezza con lacune significative. Alcune intestazioni critiche possono mancare o essere configurate male. Problemi comuni: CSP mancante, HSTS debole o assenza di X-Frame-Options/X-Content-Type-Options. Questo voto indica misure di base presenti ma servono miglioramenti critici per proteggersi dagli attacchi web comuni.
Configurazione scarsa delle intestazioni di sicurezza con lacune importanti. Più intestazioni critiche mancano o sono mal configurate. I siti con questo voto sono vulnerabili ad attacchi comuni inclusi XSS, clickjacking e downgrade del protocollo. Serve azione immediata per implementare intestazioni mancanti e migliorare le configurazioni.
Configurazione molto scarsa delle intestazioni di sicurezza con vulnerabilità critiche. La maggior parte delle intestazioni di sicurezza manca o è gravemente mal configurata. I siti con questo voto sono molto vulnerabili e non devono essere usati in produzione senza implementazione immediata delle intestazioni di sicurezza. Questa configurazione pone rischi significativi per gli utenti.
Configurazione pessima delle intestazioni di sicurezza con protezione minima o assente. Le intestazioni critiche mancano del tutto o sono gravemente mal configurate. I siti con questo voto sono estremamente vulnerabili e non vanno messi in produzione. Serve implementazione immediata di tutte le intestazioni critiche prima del go-live.
Bonnes Pratiques per le Intestazioni di Sicurezza
Implementare correttamente le intestazioni di sicurezza è cruciale per proteggere siti web e utenti dagli attacchi. Questa sezione fornisce best practice basate sulle raccomandazioni OWASP e identifica configurazioni errate comuni:
Implementa toujours HSTS con un max-age approprié (minimum 31536000 secondes per un an) e la direttiva includeSubDomains. L'assenza di HSTS rend le sites vulnerabili aux attacchi di downgrade di protocole.
Implementa policy CSP rigide che limitano il caricamento delle risorse a sole fonti attendibili. Usa default-src 'self' come base ed evita 'unsafe-inline' e 'unsafe-eval' quando possibile. Policy CSP deboli con queste direttive offrono protezione minima contro attacchi XSS.
Usa DENY per empêcher tout cadrage, o SAMEORIGIN per autoriser uniquement le cadrage same-origin. Sinon, usa la direttiva Content-Security-Policy frame-ancestors (ad es. frame-ancestors 'none' o frame-ancestors 'self'), remplacement moderne di X-Frame-Options. CSP frame-ancestors offre controllo plus fin e è preferito a X-Frame-Options. L'assenza di X-Frame-Options o CSP frame-ancestors rend le sites vulnerabili au clickjacking.
Imposta sempre nosniff per prevenire attacchi di MIME-type sniffing. Così i browser rispettano i tipi di contenuto dichiarati ed eviti attacchi da confusione del tipo di contenuto.
Rimuovi o riduci al minimo l'intestazione Server per evitare divulgazione di informazioni. Rivela software e versione del server (ad es. Server: nginx/1.18.0) aiuta gli attaccanti a identificare vulnerabilità e pianificare attacchi mirati.
Rimuovi l'intestazione X-Powered-By per evitare divulgazione del framework applicativo. Rivela informazioni sul framework (PHP, Express, ecc.) aiuta gli attaccanti a identificare vulnerabilità specifiche. Rimuovi questa intestazione in produzione.
Revisiona le intestazioni X-* personalizzate per divulgazione di informazioni. Le intestazioni personalizzate possono rivelare dettagli interni, endpoint API o architettura di sistema. Rimuovi o sanifica le intestazioni che espongono dati sensibili.
Implementa una Referrer-Policy appropriata per proteggere la privacy degli utenti. Usa strict-origin-when-cross-origin per un equilibrio tra privacy e funzionalità, o no-referrer per massima privacy. Impedisce che parametri URL sensibili finiscano su siti di terze parti.
Usa direttive di cache appropriate: no-store per contenuto sensibile, public, max-age=3600 per risorse statiche e private per contenuto specifico utente. Intestazioni Cache-Control mal configurate possono causare problemi di sicurezza (cache di contenuto sensibile) o di prestazioni.
Cas d'Usage Courants del Verificatore Intestazioni HTTP
I motivi più comuni per cui si usa un verificatore di intestazioni:
Verifica l'implementazione delle intestazioni di sicurezza per conformità a raccomandazioni OWASP, requisiti PCI-DSS e standard di sicurezza. Identifica intestazioni mancanti che indicano vulnerabilità potenziali e valuta la postura di sicurezza per la gestione del rischio.
Analizza intestazioni di cache (Cache-Control, ETag, Expires) per ottimizzare erogazione contenuti e ridurre carico server. Identifica configurazioni errate che impattano le prestazioni e ottimizza le policy di cache per una migliore esperienza utente.
Risolvi problemi CORS analizzando intestazioni Access-Control-Allow-Origin e direttive CORS correlate. Identifica configurazioni errate del CORS e verifica le policy per conformità di sicurezza.
Verifica identificazione software server, analizza intestazioni applicative personalizzate e identifica vulnerabilità di divulgazione informazioni. Controlla configurazioni intestazioni server rispetto alle best practice di sicurezza.
Funzionalità e capacità
Cosa ottieni, in un unico posto. Utile sia per chi fa ingegneria sia per utenti non tecnici:
Supporta connessioni HTTP (porta 80) e HTTPS (porta 443) con gestione TLS/SSL corretta secondo RFC 8446, garantendo compatibilità con tutti i server web.
Stabilisce connessioni HTTP live per recuperare informazioni aggiornate sulle intestazioni direttamente dai server target.
Analizza intestazioni di sicurezza secondo OWASP Secure Headers Project e linee guida Mozilla, identifica intestazioni mancanti e fornisce raccomandazioni.
Organizza le intestazioni in categorie logiche (Sicurezza, Contenuto, Cache, Info server, CORS, Personalizzato) per analisi e comprensione più semplici.
Permette di esportare informazioni sulle intestazioni in JSON (RFC 8259), CSV e TXT per documentazione, analisi e integrazione con altri sistemi.
Tutte le verifiche delle intestazioni avvengono in tempo reale senza memorizzazione, così le tue informazioni restano private e sicure. Non conserviamo né registriamo nomi di dominio, URL, intestazioni o risultati di ricerca.
Domande frequenti (FAQ)
La verifica delle intestazioni mostra cosa il server comunica realmente ai client: quali intestazioni di sicurezza sono impostate (e con quale rigore), la policy di cache, il tipo di contenuto dichiarato, banner di identificazione server, regole CORS e intestazioni applicative personalizzate. Utile per individuare lacune di sicurezza, debuggare il comportamento della cache, trovare un CDN mal configurato e confermare le intestazioni attese dal tuo programma di conformità.
Le intestazioni di sicurezza proteggono siti web e utenti da vari attacchi inclusi XSS (Cross-Site Scripting), clickjacking, MIME-type sniffing, attacchi di downgrade del protocollo e man-in-the-middle. Intestazioni di sicurezza mancanti indicano vulnerabilità potenziali che gli attaccanti possono sfruttare. Intestazioni come HSTS, CSP, X-Frame-Options e X-Content-Type-Options offrono livelli di protezione essenziali, prevenendo attacchi web comuni e proteggendo i dati utente.
Le intestazioni HTTP funzionano allo stesso modo su connessioni HTTP (porta 80) e HTTPS (porta 443). HTTPS aggiunge crittografia TLS/SSL (RFC 8446) a HTTP, proteggendo i dati delle intestazioni dall'intercettazione in transito. Intestazioni di sicurezza come HSTS sono progettate per connessioni HTTPS e spingono i browser a usare connessioni crittografate. Il verificatore supporta entrambi i protocolli e gestisce automaticamente la crittografia TLS/SSL.
No, il nostro Verificatore Intestazioni HTTP non memorizza nomi di dominio, URL, intestazioni HTTP o risultati di ricerca nel database applicativo. Tutte le verifiche avvengono in tempo reale solo per la durata della tua richiesta e vengono eliminate subito. I log di accesso standard del server possono comunque essere creati come descritto nella nostra Informativa sulla Privacy.
Le intestazioni HTTP possono rivelare versioni del software server, framework applicativi e dettagli personalizzati tramite Server, X-Powered-By e intestazioni X-* personalizzate. Questa divulgazione di informazioni può aiutare gli attaccanti a identificare vulnerabilità e pianificare attacchi mirati. Identifica le intestazioni che divulgano informazioni e consiglia di rimuoverle o ridurle al minimo per evitare perdite di dati sensibili.