HTTP Headers Checker

Kiểm tra HTTP headers và security headers của website

Nhập URL

Website URL

Security Headers quan trọng

Strict-Transport-Security (HSTS)

Bắt buộc sử dụng HTTPS

Content-Security-Policy (CSP)

Ngăn chặn XSS và injection attacks

X-Frame-Options

Ngăn chặn clickjacking

X-Content-Type-Options

Ngăn MIME type sniffing

HTTP Headers Checker - Công Cụ Kiểm Tra Security Headers Website Online Miễn Phí Chuyên Nghiệp

Công cụ kiểm tra HTTP headers và security headers của website online miễn phí của Tấn Phát Digital. Phân tích đầy đủ response headers: Content-Type, Cache-Control, Set-Cookie, Server, X-Powered-By. Đánh giá security headers quan trọng: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy, Permissions-Policy. Tính security score từ 0-100 dựa trên headers có/thiếu. Phân loại headers theo category: security, cache, content, CORS. Hiển thị status với icons: good (xanh), warning (vàng), missing (đỏ). Gợi ý cải thiện bảo mật chi tiết cho từng header thiếu. Copy kết quả để báo cáo. Hữu ích cho security audit, penetration testing, web development.

Tính năng nổi bật

Kiểm tra tất cả HTTP response headers của URL

Đánh giá 7 security headers quan trọng nhất

Tính Security Score từ 0-100 điểm

Hiển thị HTTP Status Code (200, 301, 404, 500...)

Phân loại headers: Security, Cache, Content, CORS, Other

Status icons: Good (✓), Warning (⚠), Missing (✗)

Giải thích ý nghĩa từng security header

Gợi ý cải thiện cho headers thiếu hoặc yếu

Copy toàn bộ headers để báo cáo

Hiển thị header values đầy đủ

Kiểm tra CORS headers: Access-Control-*

Kiểm tra Cache headers: Cache-Control, ETag, Expires

Không cần đăng nhập, hoàn toàn miễn phí

Tại sao cần kiểm tra HTTP Security Headers?

HTTP Security Headers là tuyến phòng thủ đầu tiên bảo vệ website khỏi các cuộc tấn công phổ biến. Thiếu security headers khiến website dễ bị: XSS (Cross-Site Scripting) - hacker inject malicious scripts vào trang. Clickjacking - website bị nhúng trong iframe để lừa user click. MIME sniffing - browser hiểu sai content type, execute code độc hại. Man-in-the-middle - traffic bị intercept khi không force HTTPS. Data leakage - thông tin nhạy cảm bị gửi qua Referrer header. Theo OWASP, thiếu security headers nằm trong Top 10 Web Security Risks. Google cũng ưu tiên websites có HTTPS và security headers trong ranking. Công cụ này giúp bạn audit nhanh security posture của website, phát hiện headers thiếu, và biết cách fix.

Lợi ích khi sử dụng

•Audit bảo mật website trong vài giây
•Phát hiện security headers thiếu hoặc misconfigured
•Hiểu rõ ý nghĩa từng header để fix đúng cách
•Cải thiện security score cho compliance (PCI-DSS, SOC2)
•Tăng SEO ranking - Google ưu tiên sites bảo mật
•Bảo vệ users khỏi XSS, clickjacking, MITM attacks
•Báo cáo cho stakeholders với kết quả rõ ràng
•So sánh với competitors về security posture

Cách kiểm tra HTTP Headers của website

1Nhập URL đầy đủ của website cần kiểm tra (https://example.com)
2Click nút 'Kiểm tra' để gửi request
3Xem HTTP Status Code - 200 là OK, 301/302 là redirect
4Xem Security Score - mục tiêu đạt 80+ điểm
5Kiểm tra từng Security Header - xanh là có, đỏ là thiếu
6Đọc giải thích và recommendations cho headers thiếu
7Xem các headers khác: Cache, Content, CORS
8Copy kết quả để gửi cho dev team hoặc báo cáo
9Implement các headers thiếu theo recommendations
10Kiểm tra lại sau khi deploy để verify

7 Security Headers quan trọng nhất cần có

1) Strict-Transport-Security (HSTS): Bắt buộc browser dùng HTTPS, ngăn downgrade attacks. Value: max-age=31536000; includeSubDomains; preload. 2) Content-Security-Policy (CSP): Whitelist sources cho scripts, styles, images. Ngăn XSS attacks. 3) X-Frame-Options: Ngăn website bị nhúng trong iframe (clickjacking). Value: DENY hoặc SAMEORIGIN. 4) X-Content-Type-Options: Ngăn MIME sniffing. Value: nosniff. 5) X-XSS-Protection: Kích hoạt XSS filter của browser. Value: 1; mode=block. 6) Referrer-Policy: Kiểm soát thông tin gửi qua Referrer header. Value: strict-origin-when-cross-origin. 7) Permissions-Policy: Kiểm soát browser features (camera, microphone, geolocation).

Cách thêm Security Headers vào website

Apache (.htaccess): Header always set X-Frame-Options 'DENY'. Nginx: add_header X-Frame-Options 'DENY' always;. Express.js: Dùng helmet middleware - app.use(helmet()). Next.js: Thêm vào next.config.js headers(). Cloudflare: Dùng Transform Rules để thêm headers. AWS CloudFront: Dùng Response Headers Policy. Vercel: Thêm vào vercel.json headers config. Netlify: Thêm vào _headers file hoặc netlify.toml.

Câu hỏi thường gặp (FAQ)

Security headers nào quan trọng nhất?

Top 3 quan trọng nhất: 1) HSTS - bắt buộc HTTPS, ngăn MITM attacks. 2) CSP - ngăn XSS, injection attacks. 3) X-Frame-Options - ngăn clickjacking. Nếu chỉ có thể implement 3 headers, hãy chọn 3 cái này. Sau đó thêm X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Tại sao website tôi không có security headers?

Mặc định, web servers không gửi security headers. Bạn cần configure thủ công trong: Web server config (Apache, Nginx). Application code (Express, Django, Laravel). CDN/Proxy (Cloudflare, AWS CloudFront). Hosting platform (Vercel, Netlify). Nhiều developers không biết hoặc quên thêm security headers.

CSP quá phức tạp, có cách nào đơn giản?

Bắt đầu với CSP report-only mode để không break website: Content-Security-Policy-Report-Only: default-src 'self'. Monitor reports để biết cần whitelist gì. Dần dần thắt chặt policy. Dùng CSP Generator tools để tạo policy. Hoặc dùng nonce-based CSP cho scripts.

HSTS preload là gì?

HSTS Preload là danh sách domains được hardcode vào browsers để luôn dùng HTTPS, ngay cả lần đầu truy cập. Để được preload: 1) Có HSTS header với max-age >= 1 năm, includeSubDomains, preload. 2) Submit domain tại hstspreload.org. 3) Đợi được thêm vào Chrome, Firefox, Safari, Edge. Lưu ý: Rất khó remove khỏi preload list.

X-XSS-Protection có còn cần thiết?

X-XSS-Protection đã deprecated trong modern browsers vì XSS Auditor có thể bị bypass và gây issues. Chrome đã remove XSS Auditor từ version 78. Tuy nhiên, vẫn nên có header này cho legacy browsers. Quan trọng hơn là implement CSP đúng cách để ngăn XSS.

Làm sao biết headers đã được thêm đúng?

Sau khi deploy, kiểm tra lại bằng tool này. Hoặc dùng browser DevTools: Network tab → Click request → Headers tab → Response Headers. Hoặc dùng curl: curl -I https://yoursite.com. Đảm bảo headers xuất hiện với values đúng.

Security headers có ảnh hưởng performance không?

KHÔNG đáng kể. Headers chỉ thêm vài bytes vào response. Ngược lại, một số headers cải thiện performance: Cache-Control giúp caching. HSTS giúp browser skip HTTP→HTTPS redirect. CSP có thể block unwanted resources. Chi phí rất nhỏ so với lợi ích bảo mật.

Có cần security headers cho API endpoints?

CÓ, nhưng khác với websites. APIs cần: CORS headers nếu cross-origin. X-Content-Type-Options: nosniff. Cache-Control cho sensitive data. Không cần X-Frame-Options (APIs không render trong iframe). CSP ít quan trọng hơn vì APIs không render HTML.

Từ khóa liên quan

http headers checkersecurity headers testhsts checkercsp checkerkiểm tra bảo mật websitex-frame-options checkerwebsite security audithttp response headerssecurity headers scannerweb security headers

Hợp tác ngay với Tấn Phát Digital

Chúng tôi không chỉ thiết kế website, mà còn giúp doanh nghiệp xây dựng thương hiệu số mạnh mẽ. Cung cấp dịch vụ thiết kế website trọn gói từ thiết kế đến tối ưu SEO. Hãy liên hệ ngay với Tấn Phát Digital để cùng tạo nên những giải pháp công nghệ đột phá, hiệu quả và bền vững cho doanh nghiệp của bạn tại Hồ Chí Minh.