HTTP Header Inspector
Analizza gli HTTP response header di qualsiasi URL. Valuta il punteggio di sicurezza, il tempo di risposta (TTFB) e ottieni raccomandazioni per i security header mancanti.
Ispezione Header
Come utilizzare HTTP Header Inspector
Inserisci l'URL da analizzare
Digita l'URL completo del sito o endpoint da ispezionare (es. https://example.com). Assicurati di includere il protocollo https:// o http://.
Scegli il metodo HTTP
Usa HEAD per recuperare solo gli header senza scaricare il corpo della risposta (più veloce). Usa GET se il server non risponde correttamente alle richieste HEAD.
Analizza i risultati
Visualizza il codice di stato HTTP, gli header di risposta completi, il tempo di risposta (TTFB) e la valutazione di sicurezza con raccomandazioni specifiche per ogni header mancante.
Suggerimenti
- Configura Content-Security-Policy in modalità report-only prima di applicarla in produzione per evitare di rompere funzionalità esistenti.
- Usa il metodo HEAD per test automatici e monitoraggio degli header: è più veloce e non scarica il body della risposta.
Domande frequenti
Cosa sono gli HTTP Security Headers e perché sono importanti?
Gli HTTP Security Headers sono direttive che il server invia al browser per proteggere gli utenti. Content-Security-Policy previene XSS e injection, Strict-Transport-Security forza HTTPS, X-Frame-Options impedisce il clickjacking, X-Content-Type-Options blocca il MIME sniffing, e Permissions-Policy limita l'accesso alle API del browser. La loro assenza espone gli utenti ad attacchi web comuni.
Cos'è il TTFB (Time to First Byte) e quali valori sono accettabili?
Il TTFB misura il tempo tra la richiesta HTTP e il ricevimento del primo byte della risposta. Include il tempo di connessione TCP, TLS handshake e il tempo di elaborazione del server. Un TTFB sotto 200ms è eccellente, 200-500ms è accettabile, sopra 500ms indica possibili problemi di performance del server o della rete.
Perché alcuni header di sicurezza potrebbero essere assenti?
Gli header di sicurezza devono essere configurati esplicitamente nel web server (nginx, Apache, Caddy) o nel framework applicativo. Molti progetti legacy o configurazioni predefinite non li includono. CDN come Cloudflare possono aggiungere automaticamente alcuni header. La loro assenza è comune ma costituisce un rischio di sicurezza che dovrebbe essere corretto.