ตรวจสอบส่วนหัวความปลอดภัยเว็บไซต์
ตัวตรวจสอบส่วนหัวความปลอดภัยช่วยให้คุณวิเคราะห์และตรวจสอบความปลอดภัยของส่วนหัว HTTP บนเว็บไซต์ของคุณ โดยสามารถระบุปัญหาที่อาจเกิดขึ้น เช่น การตั้งค่าไม่ถูกต้องหรือการขาดส่วนหัวที่สำคัญ ซึ่งจะช่วยป้องกันการโจมตีจากภัยคุกคามออนไลน์และเพิ่มความมั่นใจให้กับผู้ใช้งานของคุณ.
ข้อมูลอ้างอิงทางเทคนิคของ Security Headers
ข้อมูลรายละเอียดเกี่ยวกับแต่ละ security header และความสำคัญของมัน:
header ความปลอดภัยที่มีประสิทธิภาพที่ช่วยป้องกันการโจมตี Cross-Site Scripting (XSS) และการโจมตีการฉีดโค้ดอื่น ๆ ช่วยให้คุณสามารถระบุแหล่งที่มาที่อนุญาตให้เบราว์เซอร์โหลดได้ (สคริปต์, สไตล์, รูปภาพ ฯลฯ)
default-src 'self'; script-src 'self' https://trusted.com;เริ่มต้นด้วยนโยบายที่เข้มงวดและค่อย ๆ ผ่อนคลายตามความจำเป็น ควรรวม directive default-src เสมอ
บังคับให้เบราว์เซอร์ใช้ HTTPS แทน HTTP สำหรับการร้องขอทั้งหมดในอนาคตไปยังโดเมนของคุณ ช่วยป้องกันการโจมตีการดาวน์เกรดโปรโตคอลและการขโมยคุกกี้
max-age=31536000; includeSubDomains; preloadใช้ max-age ที่ยาว (อย่างน้อย 1 ปี) และรวม subdomains ถ้ามี
ป้องกันไม่ให้เว็บไซต์ของคุณถูกฝังอยู่ใน iframes บนเว็บไซต์อื่น ๆ ช่วยป้องกันการโจมตี clickjacking
SAMEORIGINใช้ DENY เพื่อป้องกันการฝังทั้งหมด หรือ SAMEORIGIN เพื่ออนุญาตการฝังเฉพาะจากโดเมนของคุณเอง
เปิดใช้งานการกรอง XSS ที่มีอยู่ในเบราว์เซอร์ แม้ว่าเบราว์เซอร์สมัยใหม่กำลังเลิกใช้ header นี้ แต่ก็ยังให้การป้องกันเพิ่มเติมสำหรับเบราว์เซอร์รุ่นเก่า
1; mode=blockใช้ "1; mode=block" เพื่อเปิดใช้งานการป้องกันและบล็อกหน้าถ้าตรวจพบการโจมตี
ป้องกันไม่ให้เบราว์เซอร์ทำ MIME-sniffing จากการตอบสนองจากประเภทเนื้อหาที่ประกาศ ลดความเสี่ยงจากการโจมตี drive-by download
nosniffตั้งค่าเป็น "nosniff" เสมอเพื่อป้องกัน MIME type sniffing
ควบคุมว่าควรมีข้อมูล referrer มากน้อยเพียงใดที่รวมอยู่กับการร้องขอ ช่วยปกป้องความเป็นส่วนตัวของผู้ใช้โดยการควบคุมข้อมูลที่ส่งไปยังเว็บไซต์อื่น
strict-origin-when-cross-originใช้ "strict-origin-when-cross-origin" เพื่อความสมดุลที่ดีของความปลอดภัยและการทำงาน
ควบคุมว่าเบราว์เซอร์ฟีเจอร์และ API ใดบ้างที่สามารถใช้ในเว็บไซต์ของคุณ ช่วยป้องกันการใช้งานที่ไม่เหมาะสมของฟีเจอร์เบราว์เซอร์ที่ละเอียดอ่อน
geolocation=(), microphone=(), camera=()ปิดใช้งานฟีเจอร์ที่คุณไม่ต้องการและควบคุมการเข้าถึงฟีเจอร์ที่ละเอียดอ่อนอย่างระมัดระวัง
อนุญาตให้เว็บไซต์ระบุว่า certificate authorities ใดควรเชื่อถือสำหรับโดเมนของคุณ ช่วยป้องกันการโจมตีแบบ man-in-the-middle
pin-sha256="base64=="; max-age=5184000รวมอย่างน้อยสอง pins และแผนสำรอง หมายเหตุ: header นี้กำลังถูกยกเลิกเพื่อสนับสนุน Certificate Transparency
คุณสมบัติหลัก
- การวิเคราะห์ security headers อย่างครอบคลุม
- การตรวจสอบ headers แบบเรียลไทม์
- คำแนะนำรายละเอียดสำหรับแต่ละ header
- รองรับ security headers ที่สำคัญทั้งหมด
- ตัวบ่งชี้สถานะที่เข้าใจง่าย
กรณีการใช้งานทั่วไป
- การตรวจสอบความปลอดภัยของเว็บไซต์
- การตรวจสอบความสอดคล้องของความปลอดภัย
- การทดสอบการพัฒนาเว็บ
- การดำเนินการตามนโยบายความปลอดภัย
- การตรวจสอบความปลอดภัยเป็นประจำ
วิธีการใช้งาน
- กรอก URL ของเว็บไซต์ที่คุณต้องการตรวจสอบ
- คลิกปุ่ม "ตรวจสอบ Headers"
- รอให้การวิเคราะห์เสร็จสมบูรณ์
- ตรวจสอบผลลัพธ์และคำแนะนำ
- ดำเนินการปรับปรุงความปลอดภัยตามคำแนะนำ