Перейти к содержимому
useToolz онлайн-инструменты
EN

HTTP-заголовки: анализ и настройка безопасности

03.03.2026 1 мин. чтения

HTTP-заголовки — метаинформация, которой обмениваются клиент и сервер при каждом запросе. Они управляют кешированием, безопасностью, кодировкой, типом контента и множеством других аспектов взаимодействия. Правильная настройка заголовков критически важна для безопасности и производительности сайта.

Заголовки безопасности

  • Content-Security-Policy (CSP) — определяет, откуда можно загружать ресурсы (скрипты, стили, изображения). Защищает от XSS-атак и инъекций вредоносного кода.
  • Strict-Transport-Security (HSTS) — сообщает браузеру, что сайт доступен только по HTTPS. Предотвращает атаки типа downgrade и cookie hijacking.
  • X-Content-Type-Options: nosniff — запрещает браузеру «угадывать» MIME-тип файла. Защищает от атак через подмену типа контента.
  • X-Frame-Options — управляет возможностью встраивания страницы в iframe. Защищает от clickjacking-атак. Значения: DENY, SAMEORIGIN.
  • X-XSS-Protection — встроенный фильтр XSS в браузере (устаревший, но рекомендуемый для совместимости).
  • Referrer-Policy — контролирует, какая информация передаётся в заголовке Referer при переходах между страницами.
  • Permissions-Policy — управляет доступом к API браузера: камера, микрофон, геолокация, акселерометр.

Заголовки кеширования

  • Cache-Control — основной механизм управления кешем. Директивы: max-age, no-cache, no-store, public, private.
  • ETag — уникальный идентификатор версии ресурса. Позволяет проверить, изменился ли файл, без повторной загрузки.
  • Last-Modified — дата последнего изменения ресурса.
  • Expires — устаревший заголовок, задающий абсолютную дату истечения кеша.

CORS-заголовки

Cross-Origin Resource Sharing управляет доступом к ресурсам с других доменов:

  • Access-Control-Allow-Origin — какие домены могут делать запросы.
  • Access-Control-Allow-Methods — допустимые HTTP-методы (GET, POST, PUT, DELETE).
  • Access-Control-Allow-Headers — допустимые заголовки в запросах.

Как проверить заголовки

HTTP-заголовки можно увидеть в DevTools браузера (вкладка Network) или через командную строку: curl -I https://example.com. Наш инструмент выполняет HEAD-запрос и показывает все заголовки ответа в удобном формате.

Заключение

Проверьте HTTP-заголовки любого сайта с помощью нашего инструмента. Также проверьте OG-теги через Open Graph чекер и DNS-записи через DNS Lookup.

Полезные инструменты

Конвертер регистра
Преобразование регистра текста: верхний, нижний, заглавные буквы
Транслитерация
Транслитерация кириллицы в латиницу и обратно
Счётчик слов
Подсчёт символов, слов и предложений в тексте
QR Генератор
Генерация QR-кода онлайн — создание QR-кодов для ссылок, текста и контактных данных с настройкой размера
Увеличенное изображение