Header di sicurezza
Recupera un URL e valuta i suoi header di sicurezza HTTP: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Evidenzia gli header mancanti o deboli con consigli pratici.
Domande frequenti
- Quali intestazioni contano di più?
- HSTS forza HTTPS, Content-Security-Policy blocca XSS, X-Frame-Options blocca il clickjacking e X-Content-Type-Options blocca lo sniffing di MIME. Mancare uno di questi è una vulnerabilità comune.
- Il mio framework li imposta automaticamente?
- Di solito no. Express, Django e Rails richiedono una configurazione esplicita. Utilizzare il casco (Node), il django-secure o la protezione a rack. Cloudflare e Vercel offrono commutazioni con un clic.
- Le intestazioni rigide possono danneggiare il mio sito?
- SÌ. Un CSP eccessivamente rigido blocca gli script in linea e le analisi di terze parti. Testare prima in modalità solo report, correggere le violazioni, quindi applicare.