Phân tích HTTP Headers
Nhập URL để lấy toàn bộ tiêu đề phản hồi HTTP (HTTP response headers) trả về bởi máy chủ. Công cụ này tự động phân tích các cấu hình bảo mật quan trọng (Security Headers) và chỉ ra các rủi ro bảo mật tiềm ẩn hoặc vấn đề rò rỉ quyền riêng tư.
Tại sao HTTP Headers lại quan trọng?
Tiêu đề phản hồi HTTP không chỉ cho trình duyệt biết cách xử lý n�ội dung (như bộ nhớ đệm, mã hóa) mà còn chịu trách nhiệm bảo mật quan trọng.
Ví dụ: cấu hình Strict-Transport-Security buộc trình duyệt sử dụng HTTPS, và cấu hình X-Frame-Options ngăn chặn các cuộc tấn công clickjacking.
Các tiêu đề bảo mật phổ biến
- Strict-Transport-Security (HSTS): Buộc máy khách (trình duyệt) sử dụng HTTPS để kết nối với máy chủ, ngăn chặn các cuộc tấn công trung gian (man-in-the-middle).
- Content-Security-Policy (CSP): Hạn chế nguồn tài nguyên (script, hình ảnh) có thể được tải trong trang web, bảo vệ hiệu quả chống lại các cuộc tấn công XSS.
- X-Frame-Options: Kiểm soát xem trang web có thể được nhúng vào
<frame>hoặc<iframe>hay không, ngăn chặn clickjacking. - X-Content-Type-Options: Cấm trình duyệt đánh hơi (sniffing) loại tệp, buộc sử dụng Content-Type được khai báo bởi máy chủ.