SiteGüvenlik
HTTP Güvenlik Başlığı Analizi

Güvenlik Başlıklarınız Doğru mu?

Content Security Policy, HSTS, X-Frame-Options, X-Content-Type-Options ve diğer kritik HTTP güvenlik başlıklarınız analiz edilir.

Content Security Policy
HSTS Başlığı
X-Frame-Options
X-Content-Type-Options
10 başlık
Analiz kapsamı
%77
CSP eksikliği
OWASP A05
İlgili kategori
Anlık
Analiz süresi

Ne Tarıyoruz?

Web güvenliğini doğrudan etkileyen tüm HTTP başlıkları kontrol edilir.

Content Security Policy
XSS saldırılarını engelleyen CSP direktifleri ve unsafe-inline riski.
HSTS Başlığı
HTTP Strict Transport Security ve max-age + includeSubDomains analizi.
X-Frame-Options
Clickjacking saldırılarını önleyen çerçeveleme politikası kontrolü.
X-Content-Type-Options
MIME sniffing saldırılarını engelleyen nosniff direktifi.
Referrer-Policy
Çapraz site gezinmede hassas URL bilgisinin sızdırılması.
Permissions-Policy
Kamera, mikrofon, konum gibi tarayıcı API erişim kısıtlamaları.
Cross-Origin-Opener-Policy
Spectre ve cross-origin saldırılarına karşı izolasyon politikası.
Cache-Control
Hassas sayfaların tarayıcı önbelleğinde saklanma riski.

Örnek Bulgular

Gerçek tarama sonuçlarından örnek HTTP başlık bulguları.

Risk
Başlık
Mevcut Değer
Açıklama
CRITICAL
Content-Security-Policy
Başlık yok
XSS saldırıları hiçbir kısıtlamayla karşılaşmıyor.
HIGH
X-Frame-Options
Başlık yok
Clickjacking saldırısına açık — sayfa iframe içine gömülebilir.
HIGH
HSTS
max-age=0
HSTS geçersiz — HTTP downgrade ve MITM saldırısı mümkün.
MEDIUM
X-Content-Type-Options
Başlık yok
MIME sniffing ile içerik tipi manipülasyonu riski.
Pro Plan ile Görüntüle
MEDIUM
Referrer-Policy
no-referrer-when-downgrade
Çapraz sitede URL parametreleri görünebilir.
Pro Plan ile Görüntüle
PASS
X-Content-Type-Options
nosniff
MIME sniffing koruması aktif.
Pro Plan ile Görüntüle

Nasıl Çalışır?

Üç adımda kapsamlı HTTP güvenlik başlığı analizi.

01
URL Girin
Site adresinizi girin, HTTP response başlıkları otomatik olarak incelenir.
02
Analizi Başlatın
CSP, HSTS, X-Frame-Options dahil 10 güvenlik başlığı kontrol edilir.
03
Raporu İnceleyin
Eksik başlıklar, yanlış yapılandırmalar ve önerilen değerler raporlanır.

Risk Seviyeleri

Başlık bulguları dört farklı risk seviyesine göre sınıflandırılır.

CRITICALKritik

XSS veya clickjacking saldırısını doğrudan kolaylaştıran eksik başlıklar. CSP yokluğu bu kategoridedir.

HIGHYüksek

MITM saldırısı veya kullanıcı bilgisi ifşasına yol açabilen yanlış başlık yapılandırmaları.

MEDIUMOrta

Sınırlı etki alanına sahip eksik başlıklar. Ek koşullarla sömürülebilir güvenlik açıkları.

PASSGüvenli

Başlık doğru değerle mevcut, güvenlik standardına uygun şekilde yapılandırılmış.

Sıkça Sorulan Sorular

HTTP güvenlik başlıkları hakkında merak edilenler.

CSP, hangi kaynaklardan script, stil ve medya yüklenebileceğini belirler. Doğru yapılandırılmış CSP, XSS saldırısında zararlı script çalışmasını engeller.

Hayır. script-src veya style-src'de unsafe-inline kullanmak CSP'nin XSS korumasını büyük ölçüde devre dışı bırakır. Nonce veya hash tabanlı politika önerilir.

Saldırgan sitenizi görünmez bir iframe içine gömer ve kurbanı başka bir şeye tıkladığını düşünürken sitenizde işlem yaptırır. X-Frame-Options: DENY veya CSP frame-ancestors bu saldırıyı engeller.

HSTS yalnızca ana domain için ayarlanırsa subdomainler HTTP downgrade saldırısına açık kalır. includeSubDomains tüm subdomain'leri kapsar.

Next.js için next.config.ts'deki headers() fonksiyonu, Nginx için add_header direktifi kullanılır. securityheaders.com sitesinden yapılandırmanızı test edebilirsiniz.

Başlıklarınızı Hemen Analiz Edin

Eksik ve yanlış yapılandırılmış güvenlik başlıklarını dakikalar içinde tespit edin.

Fiyatlandırma →İletişim →