HTTP Security Header Checker
Paste raw HTTP response headers dari server dan dapatkan analisis lengkap 10 header keamanan penting: CSP, HSTS, X-Frame-Options, dan lebih banyak lagi — dengan rekomendasi konkret per temuan.
Gunakan Tool
Cara mendapatkan HTTP headers
curl -I https://example.comHasil Analisis
Mengapa Security Header Penting?
HTTP security headers adalah baris pertahanan pertama yang mudah diimplementasikan. Mereka memberi instruksi kepada browser tentang bagaimana menangani konten halaman dan membatasi perilaku berbahaya.
- Content-Security-Policy — perlindungan XSS paling efektif yang tersedia saat ini.
- HSTS — mencegah downgrade attack ke HTTP.
- X-Frame-Options — mencegah clickjacking.
- X-Content-Type-Options: nosniff — mencegah MIME confusion attack.
Semua header ini bisa dikonfigurasi dalam hitungan menit di server manapun — nginx, Apache, atau melalui CDN seperti Cloudflare.
FAQ
Kenapa CSP punya severity CRITICAL?
Content-Security-Policy adalah satu-satunya mekanisme yang bisa secara aktif mencegah eksekusi script yang di-inject (XSS). Tanpanya, server bergantung pada browser untuk memblokir script — yang tidak bisa diandalkan.
Apakah X-XSS-Protection: 1 lebih baik dari 0?
Tidak. Mode 1; mode=block di browser lama (IE8) bisa dieksploitasi untuk
membocorkan data melalui teknik seperti XSS Auditor bypass. Nilai yang direkomendasikan
adalah 0 (nonaktif). Browser modern sudah menonaktifkannya secara default.
Apakah headers ini berlaku untuk semua jenis situs?
Sebagian besar ya, tapi ada penyesuaian. COEP dan COOP misalnya hanya wajib jika menggunakan SharedArrayBuffer. X-Frame-Options dan CSP frame-ancestors tidak perlu keduanya — pilih satu yang lebih modern (CSP).