KernelHost Tools HTTP Header Inspector

HTTP Header Inspector

Adjon meg teljes URL-t. A KernelHost élőben tölti le a választ Frankfurt FRA01-ből: státuszkód, az összes header, átirányítási lánc, TLS-ellenőrzés és security header audit.

URL ellenőrzése

Mi az a HTTP header

A HTTP headerek kulcs-érték párok, amelyeket egy webszerver minden válaszával együtt küld, a tényleges tartalom előtt. Vezérlik, hogyan jeleníti meg a böngésző az oldalt, cache-elheti-e, beágyazható-e iframe-ekbe, mely szkripteket futtathatja, és kell-e HTTPS-t kényszerítenie.

URL-kérés esetén ez az inspektor visszaadja a státuszkódot, az összes válaszfejlécet, a teljes átirányítási láncot, a használt HTTP-protokollt, az ellenőrzött TLS-tanúsítványt és a legfontosabb védelmi headerek auditját.

  • Státuszkód: 200 OK, 301 Redirect, 404 Not Found, 500 szerverhiba és így tovább. A színes badge egy pillantásra mutatja az osztályt.
  • Átirányítási lánc: Minden ugrás HTTP-ről HTTPS-re, www-ről csupasz domainre, minden tracker-átirányítás láthatóvá válik.
  • Security headerek: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy egyetlen audit blokkban.
  • TLS-ellenőrzés: Tanúsítvány, issuer, érvényesség és az OpenSSL verify kódja. Az önaláírt vagy lejárt tanúsítványok azonnal nyilvánvalóak.

Mely security headereket kell minden weboldalnak beállítania

Hat header lefedi a webes támadási vektorok többségét. Ha mind a hatot beállítja, drámaian csökkenti a támadási felületet a clickjacking, MIME-sniffing trükkök, XSS és mixed content ellen.

  • Strict-Transport-Security (HSTS): HTTPS-t kényszerít, megakadályozza az SSL stripping-et, a preload flaggel jogosult a Chrome és Firefox preload listákra.
  • Content-Security-Policy (CSP): Whitelist arról, mit tölthetnek be a szkriptek és stílusok. A böngészőben elérhető legerősebb XSS-védelem.
  • X-Frame-Options: DENY vagy SAMEORIGIN clickjacking ellen, alternatívaként frame-ancestors a CSP-ben.
  • X-Content-Type-Options: nosniff: Megakadályozza, hogy a böngészők kitalálják a Content-Type-ot, és például egy feltöltött képet JavaScriptként futtassanak.
  • Referrer-Policy: A strict-origin-when-cross-origin az alapérték, amely védi az adatvédelmet anélkül, hogy elrontaná az analitikákat.
  • Permissions-Policy: Lekapcsolja a kamerát, mikrofont, helymeghatározást, USB-t, ha az oldalnak nincs rájuk szüksége.

A securityheaders.com A vagy A+ értékelése mind a hatot megköveteli. Ez az inspektor azonnal megmutatja, melyik hiányzik.

HSTS, CSP és CORS megértése

A HSTS (Strict-Transport-Security) megmondja a böngészőnek, hogy mostantól csak HTTPS-t használjon ehhez a domainhez, akkor is, ha a felhasználó http://-t ír be. Ha egyszer beállította max-age=63072000-rel (két év), az oldal két évig HTTPS-only marad anélkül, hogy lekérdezné a szervert. Az includeSubDomains kiterjeszti ezt minden aldomainre. A preload ezenfelül lehetővé teszi a Chrome és Firefox preload listákba kerülést.

A CSP (Content-Security-Policy) egy whitelist: csak a kifejezetten engedélyezett erőforrásforrások tölthetnek be. A default-src 'self' mindent blokkol a saját originen kívül. A script-src, style-src, img-src, connect-src, frame-src kivételeket ad meg. A nonce- vagy hash-alapú CSP-k ezenfelül biztonságosan engedik az inline szkripteket. A megfelelően beállított CSP a web által kínált legerősebb XSS-védelem.

A CORS (Cross-Origin Resource Sharing) nem védelem, hanem engedély: az Access-Control-Allow-Origin megadja, mely idegen origin-ok olvashatják a választ. Rosszul konfigurálva (Access-Control-Allow-Origin: * sütikkel kombinálva) lyukat nyit, helyesen konfigurálva biztonságos API-hívásokat enged a saját SPA-ból.

Átirányítási láncok és SEO

Minden átirányítás egy round-tripbe kerül. A http -> https -> www -> /hu/ lánc négy ugrást jelent, és lassú mobilkapcsolaton egy másodpercnél is tovább tarthat, mielőtt a tényleges tartalom egyáltalán betölteni kezdene. A keresőmotorok ezenfelül büntetik a hosszú láncokat, és minden ugrásnál elveszítenek egy kis link equity-t.

  • 301 vs 302: A 301 állandó és cache-elt, a 302 ideiglenes. Az állandó migrációs átirányításoknak 301-et kell használniuk, különben a Google a régi URL-t tartja indexelve.
  • Közvetlen linkelés: A belső linkek mindig a végső URL-re mutassanak, sose ismert átirányításra, különben minden kattintás felesleges ugrásba kerül.
  • Hurokészlelés: Több mint 5 ugrás vagy hurok rosszul konfigurált. Az inspektor 10 átirányítás után megszakítja, és láthatóvá teszi a problémát.

Egy tisztán strukturált domainnek legfeljebb egy átirányítása van (HTTP -> HTTPS, vagy bare -> www), soha nem több.

Cache-Control bevált gyakorlatok

A Cache-Control dönti el, hogy a böngészők, CDN-ek és proxyk újra felhasználhatják-e a választ. A jól beállított Cache-Control nagyságrendekkel csökkenti az origin-terhelést, gyorsítja az ismételt látogatásokat, és közvetlenül javítja a Core Web Vitalst.

  • Statikus tartalmak: public, max-age=31536000, immutable a hash-elt bundle fájlokhoz (style.abc123.css). Egy év cache, nincs újraellenőrzés.
  • HTML-oldalak: no-cache, must-revalidate (minden kérés ellenőrzi, de 304 Not Modified megengedett), vagy s-maxage=60 rövid életű CDN edge cache-hez.
  • Privát tartalom: private, no-store a session sütiket vagy személyre szabott tartalmat tartalmazó válaszokhoz. Soha ne hagyja, hogy megosztott cache eltárolja ezeket.
  • ETag és Last-Modified: Validátorokat biztosítanak a 304 Not Modified válaszhoz. Sávszélességet takarítanak meg, és a webszerver ingyen beállítja őket (NGINX, Apache).

Gyakori hibakeresési forgatókönyvek

Valós gyakorlatból, erre használják valójában a header inspektort:

  • CDN cache-státusz ellenőrzése: A Cloudflare cf-cache-status (HIT, MISS, BYPASS) értéket mutat, a Fastly x-cache-t, a KeyCDN x-cache-t. Közvetlenül látható a header blokkban.
  • Süti-flagek ellenőrzése: A Set-Cookie headerek minden attribútummal megjelennek. A Secure, HttpOnly, SameSite kötelező a session sütikhez.
  • HTTPS-migráció ellenőrzése: A http:// bemenetnek 301-et kell adnia https://-re, plusz HSTS headert a végső válaszban. Mindkettő látható az átirányítási láncban és az auditban.
  • Bot-felismerési szabályok: A WAF-ok gyakran beállítanak x-firewall, x-rate-limit-* vagy server: cloudflare értéket. Látható a server headerben és a header auditban.
  • TLS-problémák elkülönítése: Egy verify kód != 0 lejárt vagy önaláírt tanúsítványra utal; az issuer mező azonnal elárulja, hogy Let's Encrypt, Sectigo, DigiCert vagy belső CA van használatban.

A KernelHost alapból beállítja ezeket a headereket

Minden KernelHost webtárhely-csomag NGINX alapértelmezett vhostja már HSTS-sel, X-Frame-Options-szal, X-Content-Type-Options-szal, Referrer-Policy-vel, Permissions-Policy-vel és konzervatív CSP-vel érkezik. Az ügyfél domaineknek semmit sem kell konfigurálniuk, az értékek automatikusan érkeznek a válaszban.

KernelHost VPS-en és dedikált szervereken a szerver-tweak csomagunk (auto-setup szkript) ugyanazt az alapkonfigurációt szállítja, plusz vhostonkénti felülírásokat NGINX include-okon keresztül. A securityheaders.com A+ értékelés elérése ott kétperces munka.

Adatvédelem

A HTTP Header Inspector teljes egészében szerveroldalon működik a KernelHost infrastruktúrán (Frankfurt FRA01, Németország). Nincsenek külső API-k, nincs harmadik feles követés.

  • A bevitt URL-ek kizárólag az egyetlen kérésre kerülnek felhasználásra, nem tároljuk őket tartósan.
  • A célszerver válaszát a böngészőjében jelenítjük meg, ezután a szerver memóriájából eldobjuk.
  • A rate limit adatok csak az ügyfél IP-jének anonim hash-ét tárolják legfeljebb 60 másodpercig, a visszaélések megakadályozása érdekében.
  • A cél URL-hez intézett kimenő kérés a KernelHost-Header-Inspector/1.0 User-Agent-et viseli, sütik vagy auth headerek nélkül.

Gyakori kérdések

Miért nem ugyanazt a státuszkódot látom, mint a böngészőm?

Egyes oldalak különböző válaszokat adnak a user-agenttől vagy a süti állapotától függően. Az inspektor tiszta user-agentet használ sütik nélkül, ez a nyers szerverválasz. Geo-blokkok vagy A/B tesztek esetén a kód eltérhet.

Mit jelent a 405 vagy 501 HEAD válasz esetén?

A 405 Method Not Allowed vagy 501 Not Implemented azt jelenti, hogy a szerver blokkolja a HEAD kéréseket. Az inspektor automatikusan átvált GET-re, és eldobja a body-t. Az eredménysor 'Metódus: GET' szerepel 'HEAD' helyett.

Miért bukik el a TLS-ellenőrzés, ha a böngészőm nem mutat problémát?

A böngészők gyakran elfogadnak régebbi gyökereket vagy a Microsoft, Mozilla vagy Apple által karbantartott további gyökereket, amelyek nincsenek az OpenSSL alapértelmezett trust store-jában. Önaláírt tanúsítványok, belső aláírású tanúsítványok vagy hiányzó köztes a leggyakoribb okok.

Ellenőrizhetek http:// URL-eket is?

Igen. Az inspektor elfogadja a http://-t és a https://-t is. http:// esetén nincs TLS blokk, de látja a szerver HSTS-válaszát (vagy annak hiányát) és az átirányítási láncot a https:// változathoz.

Támogatottak a privát IP-k (192.168, 10.x, ::1)?

Nem, biztonsági okokból. A szerver minden hosztnevet egy publikus IP-szűrőhöz hasonlít a kérés előtt (RFC1918, loopback, link-local és fenntartott blokkolva van), hogy megakadályozza a SSRF támadásokat a belső KernelHost infrastruktúra ellen.

Mi a maximális átirányítási mélység, amit az inspektor követ?

Legfeljebb 10 átirányítás, utána a curl megszakítja. Több mint 10 ugrás a gyakorlatban szinte mindig hurkot vagy rossz konfigurációt jelez, és hibaként jelenik meg a válaszban.

Miért nem látok Set-Cookie headert, miközben az oldal sütiket állít be?

A Set-Cookie csak a szerver közvetlen válaszában jelenik meg, átirányítás után nem. Ha a végső oldal a sütit korábban állította be (egy átirányítási ugrásban), az átirányítási láncban jelenik meg, nem a header táblázatban. Sok modern SPA ráadásul csak JavaScript-bejelentkezésen keresztül állít be sütiket, amit egy szerveroldali inspektor természetszerűleg nem lát.

Felismeri a HTTP/3-at vagy a QUIC-ot?

A kérés HTTP/1.1 vagy HTTP/2 felett fut (a libcurl build-től függően, a KernelHost konténerben HTTP/2). Egy alt-svc fejléc a válaszban jelzi, hogy a szerver kínál-e ezenkívül HTTP/3-at, de maga a kérés a kialakított H1/H2 kapcsolaton fut.

Az összes KernelHost termék

Többre van szükséged, mint eszközökre? Nézd meg kereskedelmi tárhely-kínálatunkat.

KVM-Rootserver ettől 4,99 €/hó Dedicated-Server ettől 69,99 €/hó Minecraft-Server ettől 4,00 €/hó Webhosting ettől 3,99 €/hó Private VPN-Server Dedikált IP DDoS-védelem 3,2 Tbps Arbor