Controlla le intestazioni delle risposte HTTP e analizza le intestazioni di sicurezza di qualsiasi sito web.
Controlla le intestazioni
Cosa sono gli header HTTP?
Le intestazioni HTTP sono metadati inviati tra il browser e il server ad ogni richiesta e risposta. Regolano la memorizzazione nella cache, l'autenticazione, il tipo di contenuto, le politiche di sicurezza e altro ancora. L'analisi delle intestazioni aiuta a individuare i problemi di prestazioni e a verificare le configurazioni di sicurezza.
Come funziona questo strumento
Inserisci un URL completo e lo strumento invia una richiesta `HEAD` tramite una funzione edge di Xitoring. Acquisiamo tutte le intestazioni di risposta — comprese quelle relative alla sicurezza che gli Strumenti di sviluppo del browser potrebbero comprimere o nascondere — e le classifichiamo in modo che tu possa vedere a colpo d'occhio quali protezioni sono attive e quali mancano. Lo strumento segue i reindirizzamenti fino a tre salti, quindi un URL del tipo `http://...` viene riportato con le sue intestazioni HTTPS finali.
Intestazioni di sicurezza importanti
Strict-Transport-Security — Forza connessioni HTTPS, prevenendo gli attacchi di downgrade
Content-Security-Policy — Controlla quali risorse il browser può caricare
X-Frame-Options — Previene il clickjacking controllando l'inserimento in iframe
X-Content-Type-Options — Previene gli attacchi tramite MIME-type sniffing
Referrer-Policy — Controlla quante informazioni sul referrer vengono inviate con le richieste
Monitora l'operatività e le prestazioni del tuo sito web
Monitorare costantemente lo stato HTTP, i tempi di risposta e i certificati SSL.
Come funziona questo strumento e cosa indicano effettivamente le intestazioni di risposta.
Questo strumento fa passare il mio URL attraverso i server di Xitoring?
Sì, la richiesta passa attraverso una funzione edge di Xitoring, in modo da poter recuperare le intestazioni dall'esterno della tua rete e restituire una risposta pulita, inclusi gli endpoint soggetti a restrizioni CORS che il browser altrimenti bloccherebbe. Non registriamo né l'URL né il contenuto della risposta. Se hai bisogno di esaminare un URL che preferisci non condividere con terze parti, usa `curl -I ` in locale.
Perché sul mio sito mancano alcune intestazioni di sicurezza?
Le intestazioni di sicurezza come `Content-Security-Policy`, `Strict-Transport-Security` e `X-Frame-Options` sono opzionali: non vengono emesse di default. Per aggiungerle, è necessario configurare il server web di origine (Nginx, Apache, IIS) o il CDN (Cloudflare, Fastly, AWS CloudFront). L'elenco delle intestazioni mancanti nel risultato indica quali aggiungere e, in linea di massima, da cosa protegge ciascuna di esse.
Devo preoccuparmi se il mio sito non dispone di una Content-Security-Policy?
La CSP è la difesa più efficace contro gli attacchi di tipo cross-site scripting, ma è anche l'intestazione più difficile da implementare correttamente, poiché può compromettere il funzionamento di script legittimi. Se il tuo sito carica contenuti generati dagli utenti, incorpora widget di terze parti o accetta invii tramite moduli, dai priorità alla CSP. Inizia con la modalità `Content-Security-Policy-Report-Only`, raccogli i dati sulle violazioni per una settimana, quindi passa alla modalità di applicazione.
Qual è la differenza tra HSTS e un reindirizzamento da HTTP a HTTPS?
Un reindirizzamento HTTPS avviene lato server: restituisce un codice 301 o 308 la prima volta che qualcuno richiede `http://...`. Quella prima richiesta viaggia comunque in chiaro ed è intercettabile. HSTS (`Strict-Transport-Security`) è un'intestazione che, una volta che il browser l'ha vista, rifiuta di effettuare richieste in chiaro al tuo dominio, anche prima che l'utente digiti `https://`. La direttiva `preload` e l'invio a `hstspreload.org` inseriscono il tuo dominio nell'elenco di precaricamento del browser, in modo che anche la primissima connessione sia protetta.
Posso controllare URL interni o privati con questo strumento?
Solo se sono raggiungibili dalla rete Internet pubblica. Il recupero avviene lato server dal nostro edge, quindi gli URL dietro una VPN, su una rete privata o accessibili solo tramite `localhost` non funzioneranno. Per i servizi interni, esegui `curl -I ` da un host all'interno della rete, oppure utilizza il [monitoraggio del sito web](https://xitoring.com/website-monitoring) di Xitoring, che può effettuare il test da un nodo privato.
Perché il tempo di risposta è diverso da quello indicato dal mio browser?
Il tempo riportato misura una singola richiesta `HEAD` dal nostro edge al tuo server: si tratta del tempo di andata e ritorno più il tempo necessario per generare le intestazioni di risposta. La misurazione del tuo browser include anche la risoluzione DNS, l'handshake TLS, il download completo del corpo della pagina, l'esecuzione degli script che bloccano il rendering e qualsiasi reindirizzamento intermedio. Per una valutazione realistica delle prestazioni sul campo, utilizza il Real User Monitoring (RUM) o i Core Web Vitals tramite PageSpeed Insights; per controlli sintetici da più aree geografiche, utilizza il monitoraggio dei siti web di Xitoring.