HTTP Header Inspector

Voer een volledige URL in. KernelHost haalt het antwoord live op vanuit Frankfurt FRA01: status code, alle headers, redirectketen, TLS-verificatie en security header audit.

URL controleren

Wat is een HTTP-header

HTTP-headers zijn sleutel-waardeparen die een webserver met elke respons verzendt, vóór de eigenlijke inhoud. Ze bepalen hoe een browser de pagina rendert, of hij hem mag cachen, of hij in iframes mag worden ingebed, welke scripts mogen worden uitgevoerd en of HTTPS moet worden afgedwongen.

Wanneer een URL wordt opgevraagd, geeft deze inspector de status code terug, elke response header, de volledige redirectketen, het gebruikte HTTP-protocol, het geverifieerde TLS-certificaat en een security audit van de belangrijkste beschermheaders.

Status code: 200 OK, 301 Redirect, 404 Not Found, 500 server error enzovoort. De kleurbadge toont de klasse in een oogopslag.
Redirectketen: Elke hop van HTTP naar HTTPS, van www naar bare domein, elke trackerredirect wordt zichtbaar.
Security headers: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy in één auditblok.
TLS-verificatie: Certificaat, issuer, geldigheid en de OpenSSL verify-code. Self-signed of verlopen certificaten worden direct duidelijk.

Welke security headers elke website moet instellen

Zes headers dekken het merendeel van de gangbare aanvalsvectoren op het web. Wie alle zes instelt, verkleint het aanvalsoppervlak tegen clickjacking, MIME-sniffing-trucs, XSS en mixed content drastisch.

Strict-Transport-Security (HSTS): Forceert HTTPS, voorkomt SSL stripping, met de preload-vlag in aanmerking voor de Chrome- en Firefox-preload-lijsten.
Content-Security-Policy (CSP): Whitelist van wat scripts en stijlen mogen laden. De sterkste XSS-verdediging die in de browser beschikbaar is.
X-Frame-Options: DENY of SAMEORIGIN tegen clickjacking, in plaats daarvan frame-ancestors in de CSP.
X-Content-Type-Options: nosniff: Voorkomt dat browsers het Content-Type raden en bijvoorbeeld een geüploade afbeelding als JavaScript uitvoeren.
Referrer-Policy: strict-origin-when-cross-origin is de standaardwaarde die privacy beschermt zonder analytics te breken.
Permissions-Policy: Schakelt camera, microfoon, geolocatie, USB uit als de pagina ze niet nodig heeft.

Een score A of A+ op securityheaders.com vereist alle zes. Deze inspector laat direct zien welke ontbreekt.

HSTS, CSP en CORS begrijpen

HSTS (Strict-Transport-Security) vertelt de browser om vanaf nu uitsluitend HTTPS te gebruiken voor dit domein, ook als de gebruiker http:// intypt. Eenmaal ingesteld met max-age=63072000 (twee jaar) blijft de site twee jaar HTTPS-only zonder de server te raadplegen. includeSubDomains breidt dit uit naar elke subdomein. preload maakt aanvullend opname in de Chrome- en Firefox-preload-lijsten mogelijk.

CSP (Content-Security-Policy) is een whitelist: alleen expliciet toegestane bronnen mogen laden. default-src 'self' blokkeert alles buiten de eigen origin. script-src, style-src, img-src, connect-src, frame-src specificeren uitzonderingen. Op nonce of hash gebaseerde CSPs staan inline scripts daarnaast veilig toe. Een correct ingestelde CSP is de sterkste XSS-verdediging die het web biedt.

CORS (Cross-Origin Resource Sharing) is geen bescherming maar toestemming: Access-Control-Allow-Origin geeft aan welke vreemde origins de respons mogen lezen. Verkeerd geconfigureerd (Access-Control-Allow-Origin: * gecombineerd met cookies) opent het een gat, correct geconfigureerd staat het veilige API-calls toe vanaf uw eigen SPA.

Redirectketens en SEO

Elke redirect kost één round-trip. Een keten http -> https -> www -> /nl/ telt op tot vier hops en kan op een trage mobiele verbinding meer dan een seconde duren voordat de eigenlijke inhoud begint te laden. Zoekmachines straffen daarnaast lange ketens af en verliezen bij elke hop een klein deel van de link equity.

301 vs 302: 301 is permanent en wordt gecached, 302 is tijdelijk. Permanente migratie-redirects moeten 301 gebruiken, anders behoudt Google de oude URL in de index.
Direct linken: Interne links moeten altijd naar de finale URL wijzen, nooit naar een bekende redirect, anders kost elke klik een onnodige hop.
Loopdetectie: Meer dan 5 hops of loops zijn misconfiguraties. De inspector breekt na 10 redirects af en maakt het probleem zichtbaar.

Een netjes gestructureerd domein heeft hoogstens één redirect (HTTP -> HTTPS, of bare -> www), nooit meer.

Best practices voor Cache-Control

Cache-Control bepaalt of browsers, CDN's en proxy's een respons mogen hergebruiken. Een goed afgestemd Cache-Control vermindert de origin-belasting, versnelt herhaalbezoeken met ordes van grootte en verbetert direct de Core Web Vitals.

Statische assets: public, max-age=31536000, immutable voor gehashte bundle-bestanden (style.abc123.css). Een jaar cache, geen revalidatie.
HTML-pagina's: no-cache, must-revalidate (elk verzoek valideert maar 304 Not Modified is toegestaan), of s-maxage=60 voor kortlevende CDN-edge-cache.
Privé-inhoud: private, no-store voor responses met sessiecookies of gepersonaliseerde inhoud. Laat een gedeelde cache deze nooit opslaan.
ETag en Last-Modified: Leveren validators voor de 304 Not Modified-respons. Ze besparen bandbreedte en worden gratis door de webserver ingesteld (NGINX, Apache).

Veelvoorkomende debugscenario's

Uit de echte praktijk, hier wordt de header inspector werkelijk voor gebruikt:

CDN-cachestatus controleren: Cloudflare toont cf-cache-status (HIT, MISS, BYPASS), Fastly gebruikt x-cache, KeyCDN x-cache. Direct zichtbaar in het headerblok.
Cookie-flags verifiëren: Set-Cookie-headers worden weergegeven met elk attribuut. Secure, HttpOnly, SameSite moeten zijn ingesteld voor sessiecookies.
HTTPS-migratie verifiëren: Een http:// invoer moet een 301 naar https:// opleveren plus een HSTS-header in de finale respons. Beide zichtbaar in de redirectketen en de audit.
Bot-detectieregels: WAFs zetten vaak x-firewall, x-rate-limit-* of server: cloudflare. Zichtbaar in de server-header en de header audit.
TLS-problemen isoleren: Een verify-code != 0 wijst op verlopen of self-signed certificaten; het issuer-veld onthult direct of Let's Encrypt, Sectigo, DigiCert of een interne CA wordt gebruikt.

KernelHost stelt deze headers standaard in

Elk KernelHost-webhostingpakket levert zijn NGINX default vhost al met HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy en een conservatieve CSP aan. Klantdomeinen hoeven niets te configureren, de waarden komen automatisch in de respons.

Op KernelHost VPS en dedicated servers levert onze server-tweakbundel (auto-setup-script) dezelfde standaardconfiguratie, plus per-vhost overrides via NGINX includes. A+ behalen op securityheaders.com is daar een werk van twee minuten.

Privacy

De HTTP Header Inspector werkt volledig server-side op KernelHost-infrastructuur (Frankfurt FRA01, Duitsland). Geen externe API's, geen third-party tracking.

Ingevoerde URLs worden uitsluitend voor het enkele verzoek gebruikt en niet persistent opgeslagen.
De respons van de doelserver wordt in uw browser weergegeven en daarna uit het servergeheugen verwijderd.
Rate-limit-data houden alleen een anonieme hash van het client-IP voor maximaal 60 seconden, om misbruik te voorkomen.
Het uitgaande verzoek aan de doel-URL draagt de User-Agent KernelHost-Header-Inspector/1.0 en geen cookies of auth headers.

Veelgestelde vragen

Waarom zie ik niet dezelfde status code als mijn browser?

Sommige sites geven verschillende responses afhankelijk van user-agent of cookiestatus. De inspector gebruikt een schone user-agent zonder cookies, dat is de rauwe serverrespons. Bij geo-blocks of A/B-tests kan de code afwijken.

Wat betekent 405 of 501 voor een HEAD-respons?

405 Method Not Allowed of 501 Not Implemented betekent dat de server HEAD-verzoeken blokkeert. De inspector schakelt dan automatisch over op GET en gooit de body weg. De resultaatregel toont 'Methode: GET' in plaats van 'HEAD'.

Waarom mislukt de TLS-verificatie terwijl mijn browser geen probleem toont?

Browsers accepteren vaak oudere roots of aanvullende door Microsoft, Mozilla of Apple beheerde roots die niet in het OpenSSL standaard trust store staan. Self-signed certificaten, intern ondertekende certificaten of een ontbrekende intermediate zijn de meest voorkomende oorzaken.

Kan ik ook http:// URLs controleren?

Ja. De inspector accepteert zowel http:// als https://. Bij http:// is er geen TLS-blok, maar u ziet de HSTS-respons van de server (of het ontbreken ervan) en de redirectketen naar de https://-variant.

Worden privé-IP's ondersteund (192.168, 10.x, ::1)?

Nee, om veiligheidsredenen. De server controleert elke hostname tegen een publiek-IP-filter voor het verzoek (RFC1918, loopback, link-local en gereserveerd worden geblokkeerd) om SSRF-aanvallen tegen interne KernelHost-infrastructuur te voorkomen.

Wat is de maximale redirectdiepte die de inspector volgt?

Maximaal 10 redirects, daarna breekt curl af. Meer dan 10 hops in de praktijk wijst bijna altijd op een loop of misconfiguratie en wordt als fout in de respons gerapporteerd.

Waarom zie ik geen Set-Cookie-header terwijl de pagina cookies plaatst?

Set-Cookie verschijnt alleen in de directe serverrespons, niet na een redirect. Als de finale pagina het cookie eerder plaatste (in een redirect-hop), verschijnt het in de redirectketen in plaats van in de headertabel. Veel moderne SPAs plaatsen cookies bovendien pas via JavaScript-login, wat een server-side inspector van nature niet ziet.

Worden HTTP/3 of QUIC gedetecteerd?

Het verzoek loopt over HTTP/1.1 of HTTP/2 (afhankelijk van de libcurl-build, in de KernelHost-container is het HTTP/2). Een alt-svc header in de respons geeft aan of de server daarnaast HTTP/3 aanbiedt, maar het verzoek zelf loopt over de gevestigde H1/H2-verbinding.

Alle KernelHost-Producten

Heb je meer nodig dan alleen tools? Bekijk ons commerciële hosting-aanbod.

KVM-Rootserver vanaf 4,99 €/maand Dedicated-Server vanaf 69,99 €/maand Minecraft-Server vanaf 4,00 €/maand Webhosting vanaf 3,99 €/maand Private VPN-Server Speciaal IP DDoS-bescherming 3,2 Tbps Arbor