Preskoči na sadržaj
(+381) 60 3535 720
Moj nalog
BeoHosting
BeoHosting
Moj nalogKontakt
(+381) 60 3535 720
 

Strumento diagnostico gratuito

HTTP Header Checker — Verifica Header HTTP

Verifica gli header HTTP di qualsiasi URL: header di sicurezza (HSTS, CSP, X-Frame), Cache-Control, Content-Type, Server, status code. Ideale per audit di sicurezza e prestazioni.

Verifica headerCertificati SSL
TL;DR

Come si verificano gli header HTTP di un sito?

HTTP Header Checker verifica gli header in 3 passaggi: 1) Inserisci un URL (con o senza https://). 2) Cliccando su Verifica, lo strumento invia una richiesta HEAD e analizza gli header della risposta. 3) I risultati vengono classificati: Buono (header di sicurezza presenti), Avviso (Server rivela la versione, Cache no-cache), Problema (header critici mancanti), Info (altri). Ideale per: audit di sicurezza (CSP, HSTS, X-Frame), verifica della strategia di cache, debug di problemi CORS, analisi della concorrenza.

  • Classificazione degli header — Buono / Avviso / Problema / Info
  • Rilevamento di header di sicurezza mancanti (HSTS, CSP, X-Frame)
  • Status code + tipo di Server (Apache/nginx/LiteSpeed)
  • Ideale per audit di sicurezza e prestazioni del sito

BeoHosting Team

10+ godina iskustva — Stručnjaci za web hosting i infrastrukturu

Poslednje ažurirano:

HTTP Header Checker

Unesite URL i proverite HTTP zaglavlja, security headers i status code.

I 6 header HTTP più importanti

Cache-Control

Prestazioni

Definisce come il browser memorizza in cache le risorse. public, max-age=31536000 significa cache di 1 anno per i file statici (immagini, CSS, JS con hash nel nome).

Cache-Control: public, max-age=31536000

Content-Type

Base

Definisce il tipo di contenuto e il charset. text/html; charset=utf-8 per l'HTML, application/json per le risposte API. Senza un Content-Type corretto, il browser può interpretare male il contenuto.

Content-Type: text/html; charset=utf-8

X-Frame-Options

Sicurezza

Previene gli attacchi di clickjacking. SAMEORIGIN consente l'embedding solo dallo stesso dominio, DENY blocca completamente l'embed in <iframe>. Obbligatorio per tutte le pagine admin/login.

X-Frame-Options: SAMEORIGIN

Strict-Transport-Security (HSTS)

Sicurezza

Forza la connessione HTTPS. max-age=31536000; includeSubDomains richiede HTTPS per un anno. Senza HSTS, il browser può fare fallback su HTTP alla prima visita.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Content-Security-Policy (CSP)

Sicurezza

La protezione XSS più forte. default-src 'self' consente script/stili/immagini solo dallo stesso dominio. Previene attacchi di injection e il caricamento di risorse non autorizzate.

Content-Security-Policy: default-src 'self'

Server

Info

Rivela la versione del web server. „LiteSpeed“ va bene, ma „Apache/2.4.41 (Ubuntu)“ rivela all'attaccante exploit specifici. Configura ServerSignature Off.

Server: LiteSpeed

Header HTTP — sicurezza e prestazioni

Gli header HTTP sono metadati che il server invia al browser in ogni risposta HTTP. Definiscono tutto, dalla strategia di cache alle policy di sicurezza. Header configurati correttamente proteggono da attacchi XSS, clickjacking, confusione MIME e velocizzano il sito del 50-80% grazie alla cache del browser.

Gli header si configurano a livello di web server (Apache .htaccess, config nginx, LiteSpeed) o nell'applicazione (funzione header() di PHP, middleware Express, config headers di Next.js). Gli header di sicurezza più importanti: HSTS (forza HTTPS), CSP (previene XSS), X-Frame-Options (anti-clickjacking), X-Content-Type-Options (nosniff).

I piani hosting di BeoHosting hanno Apache + LiteSpeed con header predefiniti configurati in modo ottimale (HSTS, HTTP/2, GZIP/Brotli). Se utilizzi un proxy Cloudflare davanti all'hosting BeoHosting, compariranno header aggiuntivi (CF-Ray, CF-Cache-Status).

Strumenti e servizi correlati

WHOIS LookupDNS CheckerProveri brzinu sajtaSSL SertifikatiBezbednost sajtaKako ubrzati sajtSEO za početnikeShared hostingVPS hostingKontakt

Spremni da pokrenete svoj sajt?

SSL zaštita
Brzina
24/7 podrška

Pridružite se 4.000+ zadovoljnih korisnika. Besplatna migracija i 15 dana garancije povrata novca.

Izaberite paketKontaktirajte nas
15 dana garancija povrata novca
Besplatna migracija15 dana garancija24/7 podrška

Domande frequenti - HTTP Header Checker

Odgovori na najčešća pitanja o našim uslugama.

Gli header di sicurezza sono header HTTP che proteggono un sito dai comuni attacchi web: HSTS (forza HTTPS, previene l'SSL stripping), CSP (previene XSS), X-Frame-Options (anti-clickjacking), X-Content-Type-Options (nosniff, confusione MIME), Referrer-Policy (controllo dell'header Referer), Permissions-Policy (permessi Camera/Microfono/Geo). Senza di essi il sito è vulnerabile agli attacchi più diffusi.

Il modo più semplice è tramite il file .htaccess. Aggiungi a public_html/.htaccess: Header set X-Frame-Options „SAMEORIGIN“, Header set X-Content-Type-Options „nosniff“, Header set Strict-Transport-Security „max-age=31536000; includeSubDomains“. Per il CSP usa il nostro strumento .htaccess Generator. Gli header vengono applicati immediatamente — non serve alcun riavvio.

HSTS Preload è una lista mantenuta da Chromium (Chrome) in cui possono essere aggiunti i siti rigorosamente solo-HTTPS (con HSTS di almeno 1 anno + includeSubDomains + direttiva preload). Se il tuo dominio è nella preload list, Chrome e Firefox non tenteranno mai una connessione HTTP — direttamente HTTPS. Modulo di invio: hstspreload.org.

Su Apache, in httpd.conf o .htaccess: ServerSignature Off + ServerTokens Prod. Su LiteSpeed (BeoHosting) — Server: LiteSpeed è di default senza versione, è sicuro. Per nasconderlo completamente: usa mod_security o un reverse proxy (Cloudflare/nginx) davanti al backend BeoHosting che rimuova l'header Server nella risposta.

No. L'URL che verifichi passa solo attraverso la nostra API verso il server di destinazione per la richiesta HEAD. Non memorizziamo gli URL in un database, non registriamo gli indirizzi IP degli utenti e non tracciamo l'attività. Tutto è privato al 100% e funziona anche con URL interni/staging, se sono accessibili pubblicamente.

Naše garancije za vaš mir

Zaštićeni ste sa svake strane

15 dana garancije

Vraćamo novac bez pitanja u prvih 15 dana.

Besplatna migracija

Mi prebacimo vaš sajt bez prekida — vi ništa ne radite.

24/7 podrška

Naši stručnjaci su tu 24/7 kroz tikete i live chat.