PingMap beta
Новое HTTP-проверка сайта с разных городов

Распределённая HTTP-проверка одновременно с мониторинговых агентов в Москве, Санкт-Петербурге, Челябинске и других городах. По каждому агенту: статус-код, waterfall DNS/TCP/TLS/TTFB/Download, SSL-сертификат и WHOIS — в одном отчёте на интерактивной карте. Опционально — ping/MTR. Отчёт хранится 24 часа.

Открыть →

Проверка HTTP-заголовков сайта

HTTP-заголовки ответа — это служебная информация, которую сервер отдаёт вместе со страницей: какой используется веб-сервер, как кэшировать ответ, какие security-политики применяются. Инструмент бесплатно получает все заголовки одной страницы и показывает их в читаемом виде — включая HSTS, CSP, X-Frame-Options, Cache-Control и cookies, чтобы вы могли увидеть пробелы в безопасности и кэшировании.

Что такое HTTP-заголовки

HTTP-заголовки -- это метаданные, которые передаются между клиентом и сервером при каждом запросе и ответе. Они управляют поведением браузера, кэшированием, аутентификацией и безопасностью.

Заголовки запроса отправляет браузер: User-Agent, Accept, Cookie, Authorization. Они сообщают серверу, кто запрашивает данные и в каком формате.

Заголовки ответа возвращает сервер: Content-Type, Cache-Control, Set-Cookie, заголовки безопасности. Они определяют, как браузер обработает и отобразит контент.

Правильная настройка заголовков критична для производительности, безопасности и SEO. Отсутствие заголовков безопасности делает сайт уязвимым к XSS, clickjacking и другим атакам.

Заголовки безопасности

HTTPS

Базовое шифрование соединения между браузером и сервером. Без HTTPS данные передаются в открытом виде и могут быть перехвачены. Обязателен для любого сайта, работающего с данными пользователей.

Strict-Transport-Security (HSTS)

Указывает браузеру всегда использовать HTTPS для данного домена. Защищает от атак даунгрейда, когда злоумышленник перенаправляет пользователя на незащищённую HTTP-версию сайта.

Content-Security-Policy (CSP)

Определяет, откуда браузер может загружать скрипты, стили, изображения и другие ресурсы. Главная защита от XSS-атак -- даже если злоумышленник внедрит вредоносный код, браузер не выполнит его.

X-Frame-Options

Запрещает встраивание сайта в iframe на других доменах. Защищает от clickjacking-атак, при которых пользователь кликает по скрытому элементу, думая, что взаимодействует с другим сайтом.

X-Content-Type-Options

Запрещает браузеру угадывать MIME-тип файла (MIME-sniffing). Без этого заголовка браузер может выполнить вредоносный файл как скрипт, даже если сервер отдал его с безопасным Content-Type.

Фазы времени отклика

Время загрузки страницы складывается из нескольких фаз. Понимание каждой помогает точно определить узкое место.

DNS Lookup

Преобразование доменного имени в IP-адрес. Зависит от DNS-провайдера, TTL записей и расстояния до DNS-сервера. Обычно 10--100 мс.

TCP Connect

Установка TCP-соединения (трёхстороннее рукопожатие). Зависит от расстояния до сервера и сетевой инфраструктуры. Обычно 5--50 мс.

TLS Handshake

Установка шифрованного соединения. Включает обмен сертификатами и согласование ключей. TLS 1.3 быстрее TLS 1.2 на один round-trip.

TTFB (Time to First Byte)

Время от отправки запроса до получения первого байта ответа. Отражает скорость работы серверной логики, базы данных и кэширования.

Download

Загрузка тела ответа. Зависит от размера страницы, сжатия (gzip/brotli) и пропускной способности канала.

Похожие инструменты

Проверка HTTP-статус-кода

Диагностика 2xx/3xx/4xx/5xx с расшифровкой причины.

Цепочка редиректов

Все 301/302 редиректы по пути от URL до финальной страницы.

Проверка доступности сайта (Ping)

Статус-код, время ответа, IP, заголовки и waterfall запроса.

Проверка SSL-сертификата

Издатель, цепочка доверия, версия TLS, длина ключа.

Часто задаваемые вопросы

Какие security-заголовки самые важные?
Strict-Transport-Security (HSTS) — принудительный HTTPS, Content-Security-Policy (CSP) — защита от XSS, X-Content-Type-Options: nosniff, X-Frame-Options: DENY/SAMEORIGIN — защита от clickjacking, Referrer-Policy и Permissions-Policy.
Что такое HSTS и нужен ли он?
Strict-Transport-Security — заголовок, который говорит браузеру: "никогда не подключайся к этому домену по HTTP, только HTTPS". Защищает от downgrade-атак. Рекомендуется max-age минимум 31536000 (1 год) и includeSubDomains.
Зачем заголовок Cache-Control?
Управляет кэшированием в браузере и CDN. Например, "public, max-age=31536000, immutable" говорит кэшировать ресурс на год. Для динамических страниц обычно "no-cache, no-store, must-revalidate". Правильное кэширование ускоряет сайт и снижает нагрузку на сервер.
Что показывает Server-заголовок?
Имя и версию веб-сервера: nginx/1.24.0, Apache/2.4.62, Microsoft-IIS/10.0. По соображениям безопасности версию рекомендуется скрывать (server_tokens off в nginx).
Как добавить отсутствующие security-заголовки?
В nginx — директива add_header в server-блоке. В Apache — Header set в .htaccess. В Express/Node — пакет helmet. В CDN (Cloudflare, Fastly) — правила Workers/Edge. После изменений проверьте на https://securityheaders.com.

Настройте автоматический мониторинг HTTP-заголовков и времени отклика для всех ваших сайтов.

Мониторить заголовки автоматически