🔍

Проверка HTTP-заголовков

Анализ заголовков ответа сервера с оценкой безопасности

HEAD — только заголовки (быстро). GET — полный запрос (больше заголовков).

Проверка HTTP-заголовков

Онлайн-инструмент проверки HTTP-заголовков помогает увидеть, какие заголовки отправляет сервер при ответе на запросы. Заголовки содержат важную информацию о типе контента, кешировании, безопасности, редиректах, файлах cookie.

Инструмент полезен веб-разработчикам для диагностики, SEO-специалистам для анализа настроек, специалистам по безопасности для проверки защитных заголовков (CSP, HSTS, X-Frame-Options).

Важные заголовки

Content-Type — тип передаваемого контента. Cache-Control — управление кешированием. Content-Encoding — сжатие (gzip, brotli). Content-Security-Policy — защита от XSS. Strict-Transport-Security — принудительный HTTPS. X-Frame-Options — защита от кликджекинга.

Заголовки Server и X-Powered-By раскрывают используемые технологии — их часто скрывают для безопасности. Set-Cookie — установка cookie. Location — используется при редиректах. Каждый заголовок имеет своё назначение.

Применение

При миграции сайта проверьте, что заголовки правильно настроены. При проблемах с производительностью — проверьте кеширование. При проблемах с безопасностью — убедитесь, что защитные заголовки установлены.

SEO-аудит включает проверку HTTP-заголовков, особенно кода ответа (200, 301, 302, 404, 500) и редиректов. Неправильные коды могут значительно повлиять на ранжирование сайта в поисковых системах.

💡

Пример: SEO-аудит сайта

SEO-специалист проверяет сайт клиента

Использует проверку HTTP-заголовков

Находит, что страницы отдают код 302 вместо 301

Рекомендует исправить редиректы

Это улучшает передачу ссылочного веса в поисковых системах

🧠

Знаете ли вы?

📋

HTTP-заголовки — метаданные HTTP-запросов и ответов

🛡️

Защитные заголовки значительно повышают безопасность сайта

⚡

Правильное кеширование ускоряет загрузку страниц

🎯

Коды ответа 301 vs 302 — важны для SEO

🔒

HSTS принудительно переводит на HTTPS

📊

CSP защищает от XSS-атак

Справочник заголовков безопасности HTTP

Заголовок	Защита от	Важность
Strict-Transport-Security	MITM, SSL-stripping	Критическая
Content-Security-Policy	XSS, инъекции кода	Критическая
X-Frame-Options	Кликджекинг	Высокая
X-Content-Type-Options	MIME-sniffing	Высокая
Referrer-Policy	Утечка URL-адресов	Высокая
Permissions-Policy	Злоупотребление API браузера	Средняя
Cross-Origin-Opener-Policy	Spectre-атаки	Средняя
Cross-Origin-Resource-Policy	Кража ресурсов	Средняя

💡

Важно знать

При настройке сайта обязательно установите защитные заголовки: CSP, HSTS, X-Frame-Options, X-Content-Type-Options. Это существенно повышает безопасность без негативного влияния на функциональность.

Как проверить HTTP-заголовки ответа сервера — пошаговая инструкция

Введите URL-адрес сайта

Вставьте адрес страницы, заголовки которой хотите проверить. Можно вводить с http(s) или без — протокол добавится автоматически. Примеры: google.com, https://ya.ru/news, api.example.com/v1/users.

Выберите метод запроса

HEAD — запрашивает только заголовки (быстрее, экономит трафик). GET — полный запрос страницы (может вернуть больше заголовков, включая Set-Cookie и Content-Encoding). Для большинства проверок достаточно HEAD.

Изучите результаты анализа

Получите код HTTP-статуса, полный список заголовков с пояснениями, оценку безопасности от F до A+, анализ кеширования и рекомендации по производительности. Нажимайте на заголовки для подробной информации. Используйте фильтры по категориям для удобной навигации.

Примеры и сценарии использования проверки заголовков

🔒 Аудит безопасности перед запуском сайта

Перед выводом сайта в продакшен проверьте наличие всех критических заголовков безопасности: HSTS для принудительного HTTPS, CSP для защиты от XSS-инъекций, X-Frame-Options против кликджекинга. Оценка A+ означает, что основные заголовки безопасности настроены корректно. Эта проверка часто входит в чек-лист PCI DSS и ISO 27001.

⚡ Оптимизация скорости загрузки

Проверьте настройки кеширования статических ресурсов (CSS, JS, изображения). Убедитесь, что для них установлен длительный max-age (минимум 1 год) и используется Brotli-сжатие. Правильно настроенные заголовки Cache-Control могут сократить время повторной загрузки страницы на 60-80% и снизить нагрузку на сервер.

🔍 SEO-диагностика редиректов

Проверьте цепочки редиректов при миграции сайта или смене домена. Убедитесь, что используются 301-редиректы (постоянные) вместо 302 (временные) для сохранения веса ссылок. Инструмент покажет всю цепочку перенаправлений и итоговый код ответа. Длинные цепочки редиректов замедляют индексацию и ухудшают пользовательский опыт.

🌐 Отладка CORS-ошибок

При разработке API и фронтенд-приложений часто возникают ошибки CORS (Cross-Origin Resource Sharing). Проверьте заголовки Access-Control-Allow-Origin, Access-Control-Allow-Methods и Access-Control-Allow-Headers для диагностики проблем с кросс-доменными запросами. Инструмент покажет все CORS-заголовки в отдельной категории.

🏗️ Мониторинг после обновления сервера

После обновления Nginx, Apache, Node.js или другого серверного ПО проверьте, что все заголовки остались на месте. Обновления конфигурации могут случайно удалить важные заголовки безопасности или изменить настройки кеширования. Регулярная проверка помогает предотвратить регрессии.

Частые вопросы о проверке HTTP-заголовков сервера

Что такое HTTP-заголовки ответа и зачем их проверять?

HTTP-заголовки ответа (response headers) — это служебная информация, которую веб-сервер передаёт браузеру при каждом запросе. Они определяют политику безопасности, правила кеширования, тип контента, настройки CORS и многое другое. Проверка заголовков позволяет выявить уязвимости безопасности, проблемы с производительностью, ошибки в настройках кеширования и SEO-недочёты. Это стандартная процедура при аудите безопасности, отладке и оптимизации сайтов.

В чём разница между методами HEAD и GET для проверки?

HEAD запрашивает только заголовки ответа без тела (содержимого страницы). Это быстрее и экономит трафик. GET запрашивает полную страницу, что может вернуть дополнительные заголовки: Set-Cookie, Content-Encoding, Transfer-Encoding. Для базовой проверки безопасности и кеширования достаточно HEAD. Используйте GET, если нужно проверить сжатие контента или cookie.

Как формируется оценка безопасности от F до A+?

Оценка рассчитывается на основе анализа 10 ключевых заголовков безопасности. Каждый заголовок имеет свой вес: HSTS и CSP — по 15 баллов, X-Frame-Options и X-Content-Type-Options — по 10, Referrer-Policy и Permissions-Policy — по 10, остальные — по 5. Оценивается не только наличие заголовка, но и корректность его настройки. Дополнительно снимаются баллы за раскрытие версии сервера и небезопасные cookie. Итоговый процент переводится в буквенную оценку: 90%+ = A+, 80-89% = A, 70-79% = B и так далее.

Как исправить отсутствующие заголовки безопасности?

Заголовки настраиваются в конфигурации веб-сервера. Для Nginx — в блоке server или location (директива add_header). Для Apache — через .htaccess (директива Header set). Для Node.js/Express — через middleware (helmet). Для Cloudflare — через Transform Rules. Нажмите на конкретный заголовок в результатах проверки, чтобы увидеть рекомендуемое значение для добавления.

Безопасно ли проверять заголовки чужого сайта?

Да, абсолютно безопасно. Инструмент отправляет стандартный HTTP-запрос (HEAD или GET), который ничем не отличается от обычного посещения сайта в браузере. Заголовки ответа — это публичная информация, доступная при любом обращении к серверу. Никакие данные не сохраняются и не передаются третьим лицам.

Какие настройки кеширования считаются оптимальными?

Для статических ресурсов (CSS, JS, изображения) с хешем в имени файла: Cache-Control: public, max-age=31536000, immutable. Для HTML-страниц: Cache-Control: no-cache или max-age=0, must-revalidate (с ETag). Для API-ответов: зависит от частоты обновлений, часто Cache-Control: private, no-store. Обязательно включите ETag для условных запросов — это позволяет серверу отвечать 304 Not Modified вместо повторной отправки контента.

Какие заголовки важны для SEO-оптимизации?

Для SEO критически важны: HTTP-статус (200 для страниц, 301 для редиректов, 404 для удалённых), X-Robots-Tag (управление индексацией без meta-тегов), Link с rel=canonical (канонический URL), Cache-Control (Googlebot учитывает TTL), Content-Type с charset (корректная кодировка), Content-Language (язык контента), а также HSTS (Google учитывает HTTPS как фактор ранжирования). Проверяйте эти заголовки при SEO-аудите.

Полезная информация

Запросы выполняются через серверный API-маршрут, что обеспечивает точный анализ заголовков без ограничений CORS. Ваши данные не сохраняются — каждая проверка выполняется в реальном времени. Для получения наиболее полных результатов рекомендуется проверять сайт обоими методами (HEAD и GET).

Смежные инструменты

Вместе с этим инструментом часто используют:

Проверка сайта на ФЗ-152 и ФЗ-53

Комплексный аудит: 131 проверка, оценка 0–100, расчёт штрафа, PDF-отчёт

Проверка HTTP/2

Поддержка современного протокола для ускорения загрузки

Проверка SSL-сертификата

Срок действия, издатель, цепочка доверия, алгоритм

Комментарии (1)

Был ли полезен этот инструмент?

Руслан Авдеев (автор проекта)• 1 янв. 2024 г., 00:00

🎉 Спасибо, что используете наши инструменты! Все инструменты на ToolFox полностью бесплатны и постоянно улучшаются. 📝 Пожалуйста, оставляйте комментарии: - Если инструмент работает некорректно - Если есть идеи по улучшению - Поделитесь своим опытом использования 👍 Ставьте лайки/дизлайки - это помогает мне понять, какие инструменты нуждаются в доработке. Я обновляю сайт каждую неделю на основе вашей обратной связи. ⭐ Если вам нравится ToolFox — буду благодарен за отзыв о сайте в Яндекс.Браузере (нажмите на ⋮ → «Оценить сайт» в панели браузера). Это помогает другим людям находить наши инструменты! 😊 Также вы можете написать мне напрямую в Telegram: @avdeevrus Все доработки и улучшения по вашим пожеланиям делаю бесплатно! Благодарю за доверие и использование ToolFox! 🚀