Pemeriksa Header Keamanan | Periksa dan Tingkatkan Keamanan

Di browser Anda Diperbarui 06/2026

Referensi Teknis Header Keamanan

Informasi terperinci tentang setiap header keamanan dan pentingnya:

Header keamanan yang kuat yang membantu mencegah Cross-Site Scripting (XSS) dan serangan penyisipan kode lainnya. Ini memungkinkan Anda menentukan sumber daya mana (skrip, gaya, gambar, dll.) yang diizinkan untuk dimuat oleh browser.

Example:
default-src 'self'; script-src 'self' https://trusted.com;
Best Practice:

Mulailah dengan kebijakan yang ketat dan secara bertahap longgarkan sesuai kebutuhan. Selalu sertakan direktif default-src.

Memaksa browser untuk menggunakan HTTPS alih-alih HTTP untuk semua permintaan masa depan ke domain Anda. Ini membantu mencegah serangan penurunan protokol dan pembajakan cookie.

Example:
max-age=31536000; includeSubDomains; preload
Best Practice:

Gunakan max-age yang panjang (setidaknya 1 tahun) dan sertakan subdomain jika berlaku.

Mencegah situs web Anda dimasukkan dalam iframe di situs lain, melindungi dari serangan clickjacking.

Example:
SAMEORIGIN
Best Practice:

Gunakan DENY untuk sepenuhnya mencegah framing, atau SAMEORIGIN untuk mengizinkan framing hanya dari domain Anda sendiri.

Mengaktifkan penyaringan XSS bawaan browser. Meskipun browser modern bergerak menjauh dari header ini, header ini memberikan lapisan perlindungan tambahan untuk browser yang lebih lama.

Example:
1; mode=block
Best Practice:

Gunakan "1; mode=block" untuk mengaktifkan perlindungan dan memblokir halaman jika terdeteksi serangan.

Mencegah browser dari MIME-sniffing respons jauh dari tipe konten yang dinyatakan, mengurangi paparan terhadap serangan unduhan drive-by.

Example:
nosniff
Best Practice:

Selalu atur ke "nosniff" untuk mencegah sniffing tipe MIME.

Mengontrol seberapa banyak informasi referrer yang harus disertakan dengan permintaan. Ini membantu melindungi privasi pengguna dengan mengontrol informasi apa yang dikirim ke situs lain.

Example:
strict-origin-when-cross-origin
Best Practice:

Gunakan "strict-origin-when-cross-origin" untuk keseimbangan keamanan dan fungsionalitas yang baik.

Mengontrol fitur dan API browser mana yang dapat digunakan di situs web Anda. Ini membantu mencegah penyalahgunaan fitur browser yang sensitif.

Example:
geolocation=(), microphone=(), camera=()
Best Practice:

Nonaktifkan fitur yang tidak Anda butuhkan dan kontrol dengan hati-hati akses ke fitur sensitif.

Memungkinkan situs web menentukan otoritas sertifikat mana yang harus dipercaya untuk domain Anda. Ini membantu mencegah serangan man-in-the-middle.

Example:
pin-sha256="base64=="; max-age=5184000
Best Practice:

Sertakan setidaknya dua pin dan rencana cadangan. Catatan: Header ini sedang dihapus demi Transparansi Sertifikat.

Fitur Utama

  • Analisis header keamanan yang komprehensif
  • Pemeriksaan header secara real-time
  • Rekomendasi terperinci untuk setiap header
  • Dukungan untuk semua header keamanan utama
  • Indikator status yang mudah dipahami

Kasus Penggunaan Umum

  • Audit keamanan situs web
  • Pemeriksaan kepatuhan keamanan
  • Pengujian pengembangan web
  • Penerapan kebijakan keamanan
  • Pemantauan keamanan rutin

Cara Menggunakan

  1. Masukkan URL situs web yang ingin Anda periksa
  2. Klik tombol "Periksa Header"
  3. Tunggu sampai analisis selesai
  4. Tinjau hasil dan rekomendasi
  5. Terapkan perbaikan keamanan yang disarankan

Pertanyaan yang Sering Diajukan

Arahan server yang memberi tahu browser cara menangani konten. Melindungi dari XSS, clickjacking dan MIME sniffing.

Content-Security-Policy, HSTS, X-Frame-Options dan X-Content-Type-Options paling kritis.

Konfigurasikan di server web (Apache, Nginx) atau di kode aplikasi.

Periksa setelah setiap penerapan atau perubahan konfigurasi, dan lakukan audit berkala setidaknya sebulan sekali untuk menangkap regresi yang diperkenalkan oleh kode baru atau skrip pihak ketiga.

Content-Security-Policy (CSP) secara luas dianggap paling berdampak karena langsung memitigasi cross-site scripting (XSS), kerentanan web paling umum. Strict-Transport-Security berada di posisi kedua untuk situs HTTPS mana pun.

Pemeriksa Header Keamanan menganalisis pengaturan header keamanan situs web. Alat ini mendeteksi kebijakan seperti HSTS, X-Content-Type-Options, dan Content-Security-Policy untuk meningkatkan perlindungan dari serangan siber. Masukkan URL untuk laporan lengkap keamanan web.

Apa itu pemeriksa header keamanan?

Sebuah pemeriksa header keamanan memindai header respons HTTP yang dikirim sebuah situs web dan menandai header pelindung mana yang ada atau hilang. Header yang tepat melindungi pengunjung dari serangan seperti cross-site scripting dan clickjacking.