Тест HTTP-заголовков — Просмотр заголовков запросов браузера
docПроверьте HTTP-заголовки, которые отправляет ваш браузер. Анализируйте метаданные запросов для приватности, безопасности и отладки.
Тест HTTP-заголовков
Проверьте HTTP-заголовки, которые отправляет ваш браузер. Анализируйте метаданные запросов для приватности, безопасности и отладки.
Что показывает этот инструмент
Страница отображает заголовки запросов, отправленные вашим браузером, и заголовки безопасности, возвращённые сервером.
Заголовки раскрывают детали протокола, обработку контента и контроли политик.
Заголовки безопасности, которые важны
CSP ограничивает источники скриптов, while HSTS enforce HTTPS on future requests.
X-Frame-Options и Permissions-Policy reduce clickjacking and feature abuse.
Соображения приватности
Referrer-Policy управляет тем, how much URL data is sent to other sites.
Слишком подробные заголовки могут раскрывать details about software or infrastructure.
Как интерпретировать результаты
Missing or weak policies increase risk even if TLS is enabled.
After changes, retest to ensure browsers enforce the expected rules.
Типичные ошибки конфигурации
CSP set to report-only provides visibility but no enforcement.
HSTS with subdomains может заблокировать хосты, которые lack HTTPS.
Последовательность устранения проблем
Начните с разделения проблем заголовков запроса от проблем заголовков ответа. Заголовки запроса приходят from the browser or proxy; response headers come from origin, CDN, or WAF.
Проведите повторный тест в приватном режиме, затем в чистом профиле с отключёнными расширениями, to isolate extension or local policy interference.
Если поведение различается в зависимости от сети — сравните пути home, mobile и VPN. Сетевые различия often indicate gateway or middlebox rewriting.
Сигналы высокорискового несоответствия
When User-Agent, Client Hints, and TLS fingerprint disagree, risk engines commonly raise challenge level и increase CAPTCHA frequency.
Если Referrer-Policy отсутствует или слишком слаб — cross-site navigations may leak full paths and sensitive query parameters.
Слишком широкие настройки CORS и Permissions-Policy могут expose extra capabilities to third-party scripts and increase attack surface.
Проверки CDN и обратного прокси
Многие production issues occur between edge and origin. CDN может добавлять, переопределять или удалять заголовки, so origin and user-visible behavior can diverge.
Тестируйте тот же маршрут через origin-direct и CDN domain, затем diff CSP, HSTS, X-Frame-Options и Permissions-Policy.
В цепочках многослойных прокси — verify each layer does not override security headers unexpectedly.
Операционные рекомендации
Создайте базовый уровень заголовков для критических страниц и enforce it with automated checks in CI/CD.
После любого изменения политики WAF, CDN или шлюза — run a full-path retest on login, payment, and admin flows.
Для анализа инцидентов — keep a record of header diffs and request path snapshots to reduce repeat regressions.
Ограничения
Заголовки различаются в зависимости от маршрута и окружения; тестируйте именно ту страницу, которая важна.
Некоторые политики применяются на стороне клиента и vary by browser.
Этот инструмент — диагностическое руководство, а not a standalone compliance verdict.