KernelHost Tools HTTP Header Inspector

HTTP Header Inspector

Ange en fullständig URL. KernelHost hämtar svaret live från Frankfurt FRA01: statuskod, alla headers, omdirigeringskedja, TLS-verifiering och security header-revision.

Kontrollera URL

Vad är en HTTP-header

HTTP-headers är nyckel-värdepar som en webbserver skickar med varje svar, före själva innehållet. De styr hur en webbläsare renderar sidan, om den får cacha den, om den får bäddas in i iframes, vilka skript den får köra och om HTTPS måste tvingas.

När en URL begärs returnerar denna inspektor statuskoden, varje response header, hela omdirigeringskedjan, det HTTP-protokoll som använts, det verifierade TLS-certifikatet och en säkerhetsrevision av de viktigaste skyddsheaders.

  • Statuskod: 200 OK, 301 Redirect, 404 Not Found, 500 serverfel och så vidare. Färgbadgen visar klassen i ett ögonkast.
  • Omdirigeringskedja: Varje hopp från HTTP till HTTPS, från www till bara domän, varje spårarens omdirigering blir synlig.
  • Security headers: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy i ett revisionsblock.
  • TLS-verifiering: Certifikat, issuer, giltighet och OpenSSL verify-koden. Självsignerade eller utgångna certifikat blir omedelbart uppenbara.

Vilka security headers varje webbplats ska sätta

Sex headers täcker huvuddelen av vanliga attackvektorer på webben. Att sätta alla sex krymper drastiskt attackytan mot clickjacking, MIME-sniffing-trick, XSS och mixed content.

  • Strict-Transport-Security (HSTS): Tvingar HTTPS, hindrar SSL-stripping, med preload-flagga möjlig att tas in i Chromes och Firefoxs preload-listor.
  • Content-Security-Policy (CSP): Whitelist över vad skript och stilar får ladda. Det starkaste XSS-skyddet som finns i webbläsaren.
  • X-Frame-Options: DENY eller SAMEORIGIN mot clickjacking, alternativt frame-ancestors i CSP.
  • X-Content-Type-Options: nosniff: Hindrar webbläsare från att gissa Content-Type och till exempel köra en uppladdad bild som JavaScript.
  • Referrer-Policy: strict-origin-when-cross-origin är standardvärdet som skyddar integritet utan att förstöra analytics.
  • Permissions-Policy: Stänger av kamera, mikrofon, geolokalisering, USB om sidan inte behöver dem.

Ett A- eller A+-betyg på securityheaders.com kräver alla sex. Denna inspektor visar direkt vilken som saknas.

Förstå HSTS, CSP och CORS

HSTS (Strict-Transport-Security) säger åt webbläsaren att hädanefter bara använda HTTPS för denna domän, även om användaren skriver http://. När det sätts med max-age=63072000 (två år) är sajten HTTPS-only i två år utan att fråga servern. includeSubDomains utökar detta till varje underdomän. preload möjliggör dessutom inkludering i Chromes och Firefoxs preload-listor.

CSP (Content-Security-Policy) är en whitelist: bara explicit tillåtna resurskällor får laddas. default-src 'self' blockerar allt utanför det egna originet. script-src, style-src, img-src, connect-src, frame-src specificerar undantag. Nonce- eller hashbaserade CSPs tillåter dessutom inline-skript säkert. En korrekt inställd CSP är det starkaste XSS-skydd webben erbjuder.

CORS (Cross-Origin Resource Sharing) är inte skydd utan tillåtelse: Access-Control-Allow-Origin anger vilka främmande origins som får läsa svaret. Felkonfigurerat (Access-Control-Allow-Origin: * kombinerat med kakor) öppnar det ett hål, korrekt konfigurerat tillåter det säkra API-anrop från egen SPA.

Omdirigeringskedjor och SEO

Varje omdirigering kostar ett round-trip. En kedja http -> https -> www -> /sv/ summerar till fyra hopp och kan ta över en sekund på en långsam mobiluppkoppling innan själva innehållet ens börjar laddas. Sökmotorer straffar dessutom långa kedjor och förlorar en liten andel länkkraft vid varje hopp.

  • 301 vs 302: 301 är permanent och cachas, 302 är tillfällig. Permanenta migrationsomdirigeringar måste använda 301, annars behåller Google den gamla URL:en i indexet.
  • Länka direkt: Interna länkar ska alltid peka på den slutliga URL:en, aldrig på en känd omdirigering, annars betalar varje klick ett onödigt hopp.
  • Loopdetektering: Mer än 5 hopp eller loopar är felkonfigurationer. Inspektorn avbryter efter 10 omdirigeringar och gör problemet synligt.

En väl strukturerad domän har som mest en omdirigering (HTTP -> HTTPS, eller bare -> www), aldrig fler.

Best practices för Cache-Control

Cache-Control avgör om webbläsare, CDN:er och proxyer får återanvända ett svar. En väl inställd Cache-Control minskar origin-belastning, snabbar upp upprepade besök storleksordningar och förbättrar Core Web Vitals direkt.

  • Statiska assets: public, max-age=31536000, immutable för hashade bundle-filer (style.abc123.css). Ett års cache, ingen omvalidering.
  • HTML-sidor: no-cache, must-revalidate (varje förfrågan validerar men 304 Not Modified är tillåtet) eller s-maxage=60 för kortlivad CDN-edge-cache.
  • Privat innehåll: private, no-store för svar med sessionskakor eller personaliserat innehåll. Låt aldrig en delad cache lagra dessa.
  • ETag och Last-Modified: Levererar validatorer för 304 Not Modified-svaret. De sparar bandbredd och sätts gratis av webbservern (NGINX, Apache).

Vanliga felsökningsscenarier

Från verklig praktik, det är detta header inspectorn faktiskt används till:

  • Kontrollera CDN-cachestatus: Cloudflare visar cf-cache-status (HIT, MISS, BYPASS), Fastly använder x-cache, KeyCDN x-cache. Direkt synligt i header-blocket.
  • Verifiera kakflaggor: Set-Cookie-headers listas med varje attribut. Secure, HttpOnly, SameSite måste vara satta för sessionskakor.
  • Verifiera HTTPS-migrering: En http:// indata måste ge en 301 till https:// plus en HSTS-header i det slutliga svaret. Båda synliga i omdirigeringskedjan och revisionen.
  • Bot-detekteringsregler: WAFs sätter ofta x-firewall, x-rate-limit-* eller server: cloudflare. Synligt i serverheadern och header-revisionen.
  • Isolera TLS-problem: En verify-kod != 0 antyder utgångna eller självsignerade certifikat; issuer-fältet avslöjar omedelbart om Let's Encrypt, Sectigo, DigiCert eller en intern CA används.

KernelHost sätter dessa headers från start

Varje KernelHost webbhotellsplan levererar sin NGINX default vhost redan med HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy och en konservativ CSP påslagen. Kunddomäner behöver inte konfigurera något, värdena kommer automatiskt i svaret.

På KernelHost VPS och dedikerade servrar levererar vårt server-tweak-paket (auto-setup-skript) samma standardkonfiguration, plus per-vhost-overrides via NGINX includes. Att nå A+ på securityheaders.com är ett tvåminutersjobb där.

Integritet

HTTP Header Inspector arbetar fullt serverbaserat på KernelHost-infrastruktur (Frankfurt FRA01, Tyskland). Inga externa API:er, ingen tredjepartsspårning.

  • Inmatade URL:er används enbart för den enskilda förfrågan och lagras inte beständigt.
  • Målserverns svar renderas i din webbläsare och kastas sedan ur serverminnet.
  • Rate-limit-data håller endast en anonym hash av klient-IP i upp till 60 sekunder, för att förhindra missbruk.
  • Den utgående förfrågan till mål-URL bär User-Agent KernelHost-Header-Inspector/1.0 och inga kakor eller auth-headers alls.

Vanliga frågor

Varför ser jag inte samma statuskod som min webbläsare?

Vissa sajter levererar olika svar beroende på user-agent eller kakstatus. Inspektorn använder en ren user-agent utan kakor, det är det råa serversvaret. Vid geo-block eller A/B-tester kan koden skilja sig.

Vad betyder 405 eller 501 för ett HEAD-svar?

405 Method Not Allowed eller 501 Not Implemented betyder att servern blockerar HEAD-förfrågningar. Inspektorn växlar då automatiskt till GET och kasserar bodyn. Resultatraden visar 'Metod: GET' istället för 'HEAD'.

Varför misslyckas TLS-verifieringen när min webbläsare inte visar något problem?

Webbläsare accepterar ofta äldre rötter eller ytterligare rötter som hanteras av Microsoft, Mozilla eller Apple och som inte finns i OpenSSLs standardtrust store. Självsignerade certifikat, internt signerade certifikat eller en saknad mellancertifikat är vanligaste orsakerna.

Kan jag kontrollera även http://-URL:er?

Ja. Inspektorn accepterar både http:// och https://. Med http:// finns inget TLS-block men du ser serverns HSTS-svar (eller avsaknaden av det) och omdirigeringskedjan till https://-varianten.

Stöds privata IP:er (192.168, 10.x, ::1)?

Nej, av säkerhetsskäl. Servern kontrollerar varje värdnamn mot ett publikt IP-filter före förfrågan (RFC1918, loopback, länklokala och reserverade blockeras), för att förhindra SSRF-attacker mot intern KernelHost-infrastruktur.

Vad är det maximala omdirigeringsdjup som inspektorn följer?

Upp till 10 omdirigeringar, sedan avbryter curl. Mer än 10 hopp i praktiken indikerar nästan alltid en loop eller felkonfiguration och rapporteras som fel i svaret.

Varför ser jag ingen Set-Cookie-header trots att sidan sätter kakor?

Set-Cookie syns endast i det omedelbara serversvaret, inte efter en omdirigering. Om den slutliga sidan satte kakan tidigare (under ett omdirigeringshopp) visas den i omdirigeringskedjan istället för i header-tabellen. Många moderna SPAs sätter dessutom kakor först via JavaScript-inloggning, vilket en serverbaserad inspektor av naturen inte ser.

Detekteras HTTP/3 eller QUIC?

Förfrågan körs över HTTP/1.1 eller HTTP/2 (beroende på libcurl-bygge, i KernelHost-containern är det HTTP/2). En alt-svc-header i svaret visar om servern dessutom erbjuder HTTP/3, men själva förfrågan körs över den etablerade H1/H2-anslutningen.

Alla KernelHost-produkter

Behöver du mer än bara verktyg? Kolla in vårt kommersiella hostingutbud.

KVM-Rootserver från 4,99 €/mån Dedicated-Server från 69,99 €/mån Minecraft-Server från 4,00 €/mån Webhosting från 3,99 €/mån Private VPN-Server Dedikerad IP DDoS-skydd 3,2 Tbps Arbor