Tutti gli strumenti

HTTP Headers Analyzer

Analizza gli header di sicurezza di un sito web e ottieni un punteggio sulla robustezza della configurazione.

https://
Inserisci il dominio senza https:// - verrà aggiunto automaticamente
L'analisi usa un proxy CORS. Per un'analisi completa degli header, usa securityheaders.com

Recupero degli header in corso...

Punteggio sicurezza header

Header di sicurezza
FAQ

Domande frequenti

Perché gli header di sicurezza sono importanti?

Gli header HTTP di sicurezza sono istruzioni che il server invia al browser per configurarne il comportamento in modo difensivo. Senza HSTS, un utente su rete pubblica potrebbe essere vittima di un attacco downgrade a HTTP. Senza CSP, un'applicazione vulnerabile a XSS esporrebbe gli utenti a iniezioni di script malevoli. X-Frame-Options previene il clickjacking, mentre X-Content-Type-Options impedisce al browser di indovinare il tipo MIME di risorse sconosciute.

Una CSP ben configurata specifica da quali domini possono essere caricati script, stili, immagini e font. La direttiva default-src 'self' permette solo risorse dallo stesso dominio. Aggiungere script-src 'self' 'nonce-...' e rimuovere 'unsafe-inline' elimina la maggior parte delle vulnerabilità XSS. Una CSP troppo permissiva (es. default-src *) è inutile. Il report-uri permette di ricevere notifiche per violazioni senza bloccare il contenuto (report-only mode).

HSTS (HTTP Strict Transport Security) istruisce il browser a usare sempre HTTPS per quel dominio. L'header è: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload. Il max-age in secondi (31536000 = 1 anno) indica quanto a lungo il browser deve ricordare questa regola. includeSubDomains la estende a tutti i sottodomini. preload richiede l'inclusione nella HSTS Preload List dei browser, la protezione più forte. Attenzione: una volta impostato, tornare indietro richiede tempo (max-age deve scadere).

No. Tutti gli strumenti LYNK TOOLS funzionano interamente nel browser, senza inviare file o dati a server esterni. L'elaborazione avviene localmente sul tuo dispositivo: i tuoi file restano privati e non vengono mai caricati online.