HTTP заголовки
Войдите или зарегистрируйтесь, чтобы сохранять инструменты в избранное
Просмотр HTTP-заголовков ответа любого URL
HTTP-заголовки ответа
| Заголовок | Значение |
|---|---|
|
|
Рекомендуется добавить
Инструмент отправляет HTTP-запрос к указанному URL и отображает заголовки ответа сервера.
Strict-Transport-Security (HSTS) — принуждает браузер использовать HTTPS для всех запросов.
Content-Security-Policy (CSP) — ограничивает источники загрузки ресурсов, защищая от XSS.
X-Frame-Options — запрещает встраивание страницы во фреймы (защита от clickjacking).
X-Content-Type-Options — предотвращает MIME-sniffing (должен быть nosniff).
Referrer-Policy — контролирует, какая информация передаётся в заголовке Referer.
Permissions-Policy — ограничивает доступ к API браузера (камера, микрофон, геолокация и др.).
Просмотр HTTP-заголовков онлайн — анализ ответа сервера
Инструмент отправляет HEAD-запрос к указанному URL и показывает все HTTP-заголовки ответа сервера. Полезно для диагностики кеширования, безопасности, настроек CORS и отладки серверных конфигураций.
Ключевые HTTP-заголовки
| Заголовок | Описание |
|---|---|
| Content-Type | Тип контента и кодировка: text/html; charset=UTF-8 |
| Content-Length | Размер тела ответа в байтах |
| Server | Веб-сервер: nginx, Apache, Cloudflare |
| X-Powered-By | Технология: PHP/8.2, ASP.NET (часто скрывается) |
| Location | URL для редиректа (3xx) |
| ETag | Идентификатор версии ресурса для кеширования |
Заголовки безопасности
| Заголовок | Назначение |
|---|---|
| Strict-Transport-Security | Принудительное HTTPS (HSTS) |
| Content-Security-Policy | Политика загрузки ресурсов, защита от XSS |
| X-Frame-Options | Защита от clickjacking (DENY, SAMEORIGIN) |
| X-Content-Type-Options | Запрет MIME-sniffing: nosniff |
| Referrer-Policy | Контроль передачи Referer заголовка |
Заголовки кеширования
- Cache-Control — главный заголовок:
max-age=3600,no-cache,no-store,public,private - Expires — дата истечения кеша (устаревший, Cache-Control важнее)
- Last-Modified — дата последнего изменения ресурса
- ETag — хеш версии ресурса для условных запросов
Часто задаваемые вопросы
Почему не все сайты показывают заголовки?
Некоторые серверы блокируют HEAD-запросы или требуют определённые User-Agent. Также CORS может ограничивать запросы из браузера к сторонним доменам.
Чем HEAD отличается от GET?
HEAD возвращает только заголовки без тела ответа. Это значительно быстрее и экономит трафик при проверке заголовков.
Как проверить, включён ли HTTPS на сайте?
Наличие заголовка Strict-Transport-Security подтверждает настройку HSTS. Также обратите внимание на Location при запросе HTTP — он должен перенаправлять на HTTPS.
Для проверки DNS-записей используйте DNS Lookup, для анализа Open Graph тегов — OG Checker.
Полезные статьи
WCAG контрастность: доступность цветов в веб-дизайне
Как проверить контрастность цветов по стандарту WCAG 2.1. Уровни AA и AAA, формула расчёта, рекомендации.
CSS Border Radius: скругление углов элементов
Как использовать border-radius: синтаксис, сокращённая запись, эллиптические углы. Генератор border-radius онлайн.