Инструменты
Бесплатные онлайн-инструменты для диагностики и проверки сайтов. Используйте без регистрации.
Что такое HTTP-заголовки
HTTP-заголовки -- это метаданные, которые передаются между клиентом и сервером при каждом запросе и ответе. Они управляют поведением браузера, кэшированием, аутентификацией и безопасностью.
Заголовки запроса отправляет браузер: User-Agent, Accept, Cookie, Authorization. Они сообщают серверу, кто запрашивает данные и в каком формате.
Заголовки ответа возвращает сервер: Content-Type, Cache-Control, Set-Cookie, заголовки безопасности. Они определяют, как браузер обработает и отобразит контент.
Правильная настройка заголовков критична для производительности, безопасности и SEO. Отсутствие заголовков безопасности делает сайт уязвимым к XSS, clickjacking и другим атакам.
Заголовки безопасности
HTTPS
Базовое шифрование соединения между браузером и сервером. Без HTTPS данные передаются в открытом виде и могут быть перехвачены. Обязателен для любого сайта, работающего с данными пользователей.
Strict-Transport-Security (HSTS)
Указывает браузеру всегда использовать HTTPS для данного домена. Защищает от атак даунгрейда, когда злоумышленник перенаправляет пользователя на незащищённую HTTP-версию сайта.
Content-Security-Policy (CSP)
Определяет, откуда браузер может загружать скрипты, стили, изображения и другие ресурсы. Главная защита от XSS-атак -- даже если злоумышленник внедрит вредоносный код, браузер не выполнит его.
X-Frame-Options
Запрещает встраивание сайта в iframe на других доменах. Защищает от clickjacking-атак, при которых пользователь кликает по скрытому элементу, думая, что взаимодействует с другим сайтом.
X-Content-Type-Options
Запрещает браузеру угадывать MIME-тип файла (MIME-sniffing). Без этого заголовка браузер может выполнить вредоносный файл как скрипт, даже если сервер отдал его с безопасным Content-Type.
Фазы времени отклика
Время загрузки страницы складывается из нескольких фаз. Понимание каждой помогает точно определить узкое место.
DNS Lookup
Преобразование доменного имени в IP-адрес. Зависит от DNS-провайдера, TTL записей и расстояния до DNS-сервера. Обычно 10--100 мс.
TCP Connect
Установка TCP-соединения (трёхстороннее рукопожатие). Зависит от расстояния до сервера и сетевой инфраструктуры. Обычно 5--50 мс.
TLS Handshake
Установка шифрованного соединения. Включает обмен сертификатами и согласование ключей. TLS 1.3 быстрее TLS 1.2 на один round-trip.
TTFB (Time to First Byte)
Время от отправки запроса до получения первого байта ответа. Отражает скорость работы серверной логики, базы данных и кэширования.
Download
Загрузка тела ответа. Зависит от размера страницы, сжатия (gzip/brotli) и пропускной способности канала.
Настройте автоматический мониторинг HTTP-заголовков и времени отклика для всех ваших сайтов.