Анализатор HTTP-заголовков сайта
Проверим security headers (HSTS, CSP, X-Frame-Options), SEO-заголовки, кэширование и утечки версий сервера. Покажем что есть, чего не хватает и как починить.
Что такое HTTP-заголовки
HTTP-заголовки — это служебные поля «метаданных», которые сервер отдаёт вместе с каждым ответом. Браузер использует их, чтобы понять, как обрабатывать страницу: можно ли её встраивать в iframe, как долго кэшировать, какие скрипты разрешено выполнять, в каком формате передан контент.
Для безопасности сайта заголовки важнее, чем кажется: правильно настроенный Content-Security-Policy закрывает 90% XSS-атак, а Strict-Transport-Security с preload-флагом защищает даже первый визит юзера от downgrade на HTTP.
Категории заголовков
Security headers — защита от атак
- Strict-Transport-Security (HSTS) — обязательный для HTTPS-сайтов. Браузер запоминает, что сайт работает только по HTTPS, и не пытается подключиться по HTTP даже при ручном вводе.
- Content-Security-Policy (CSP) — белый список источников скриптов, стилей, шрифтов. Главная защита от XSS.
- X-Content-Type-Options: nosniff — запрещает браузеру угадывать MIME-тип. Защита от загрузки замаскированных JS-файлов.
- X-Frame-Options: DENY/SAMEORIGIN — запрет на встраивание сайта в чужой iframe. Защита от clickjacking.
- Referrer-Policy — что передавать в Referer-заголовке при переходах.
strict-origin-when-cross-origin— разумный дефолт. - Permissions-Policy — какие API браузера разрешены (камера, микрофон, геолокация, payments).
SEO headers — индексация и кэш
- X-Robots-Tag — единственный способ управлять индексацией PDF, картинок и не-HTML файлов (где нет HTML-метатега
<meta name="robots">). - Link (rel=canonical) — canonical-URL через HTTP-заголовок. Применяется когда нельзя добавить HTML-тег.
- Vary — сообщает прокси и CDN, что ответ зависит от других заголовков (Accept-Encoding, User-Agent). Без этого CDN может отдать gzip-версию клиенту, который не поддерживает gzip.
Performance — скорость и кэширование
- Cache-Control — стратегия кэша. Для статики:
public, max-age=31536000, immutable. Для динамики:no-cache, must-revalidate. - ETag — хеш контента. Conditional GET (If-None-Match) экономит трафик повторных запросов.
- Content-Encoding — gzip / br / zstd. Критично для скорости: HTML-страница без сжатия в 4-7 раз тяжелее.
Утечки версий — скрывать обязательно
- Server: nginx/1.21.0 — раскрывает точную версию веб-сервера. Атакующему достаточно поискать CVE для этой версии. Скрыть:
server_tokens off; - X-Powered-By: PHP/8.1.0 — раскрывает стек. В PHP скрывается через
expose_php = Offв php.ini.
FAQ
Почему сайт получает низкий Score, хотя HTTPS работает?
HTTPS — это base level. Большинство сайтов в 2026 настроили SSL, но забыли про CSP, HSTS, X-Frame-Options. Это разные слои защиты. Наш сервис проверяет именно второй уровень — header-based security.
Почему ваш собственный аудит проверяет 80 параметров, а здесь меньше?
Полный SEO-аудит сайта проверяет 80 параметров, включая контент, скорость, индексацию, Schema.org. Headers Analyzer — узкоспециализированный инструмент только для HTTP-заголовков. Используйте оба.
Можно ли проверить заголовки локального сайта (на localhost)?
Нет, наш сервер не имеет доступа к вашей локальной сети. Для localhost используйте curl: curl -I https://localhost:8443 или DevTools → Network в браузере.
Где научиться правильно настраивать заголовки?
Начните с securityheaders.com и OWASP Secure Headers Project. Для CSP — CSP Evaluator от Google.
Связанные инструменты
- WHOIS домена — регистратор, дата регистрации, NS-серверы
- Все бесплатные инструменты
- Полный SEO-аудит сайта по 80 параметрам