Skip to main contentSkip to navigation

सिक्योरिटी हेडर्स विश्लेषक

HTTP रिस्पॉन्स हेडर्स की सुरक्षा जाँच

HTTP Response Headers

Paste raw response headers (from your server, curl -I, or browser devtools).

Analysis

HSTS
Header not present
Forces HTTPS and protects against protocol downgrade attacks.
CSP
Header not present
Mitigates XSS by whitelisting sources.
X-Frame-Options
Header not present
Prevents clickjacking in iframes.
X-Content-Type-Options
Header not present
Prevents MIME sniffing.
Referrer-Policy
Header not present
Controls referer leakage.
Permissions-Policy
Header not present
Restricts powerful browser features.
COOP
Header not present
Isolates browsing context for security.
COEP
Header not present
Required for certain isolation models.
CORP
Header not present
Restricts cross-origin resource loading.

सिक्योरिटी हेडर्स एनालाइज़र - HTTP रिस्पॉन्स हेडर्स जाँचें

HTTP सुरक्षा हेडर वेब कमजोरियों के ख़िलाफ़ पहली सुरक्षा रेखा हैं—ये ब्राउज़र को नीतियाँ लागू करने का निर्देश देते हैं जो XSS, क्लिकजैकिंग, MITM हमलों और डेटा‑लीक से बचाती हैं। यह एनालाइज़र आपके साइट के response headers को सर्वोत्तम प्रथाओं के विरुद्ध जाँचता है, गायब सुरक्षा को पहचानता है और हार्डनिंग के लिए लागू करने योग्य सुझाव देता है। सही हेडर कॉन्फ़िगरेशन अनुपालन, भरोसे और उभरते खतरों से रक्षा के लिए आवश्यक है।

आवश्यक सुरक्षा हेडर और उनका प्रभाव

Content‑Security‑Policy (CSP) स्रोतों और इनलाइन स्क्रिप्ट पर नियंत्रण से XSS घटाती है। Strict‑Transport‑Security (HSTS) HTTPS लागू करता है और डाउनग्रेड हमलों को रोकता है। X‑Frame‑Options और frame‑ancestors iFrame एम्बेडिंग नियंत्रित कर क्लिकजैकिंग रोकते हैं। X‑Content‑Type‑Options MIME‑sniffing रोकता है। Referrer‑Policy सूचना‑रिसाव सीमित करती है। Permissions‑Policy कैमरा, माइक, जियोलोकेशन जैसी APIs पर पहुँच नियंत्रित करती है। मिलकर ये हेडर बहु‑स्तरीय सुरक्षा देते हैं।

CSP: उन्नत कॉन्फ़िगरेशन और सर्वोत्तम प्रथाएँ

CSP में सुरक्षा‑कार्यात्मकता का संतुलन ज़रूरी है। पहले सख़्त नीति रखें (जैसे default‑src 'self'; img‑src 'self' data:; style‑src 'self' 'unsafe‑inline'; script‑src 'self') और आवश्यकता अनुसार ढीली करें। 'unsafe‑inline' के बजाय nonce/hash अपनाएँ। क्रमिक रूप से लागू करें: पहले report‑only, फिर संगतता ठीक करें और लागू करें। रिपोर्ट्स की निगरानी करें। जटिल ऐप्स में अलग‑अलग पेजों के लिए अलग नीतियाँ या strict‑dynamic पर विचार करें।

HSTS लागू करना और सबडोमेन विचार

HSTS भविष्योन्मुख कनेक्शनों में HTTPS लागू कर SSL‑stripping रोकता है। परीक्षण के लिए कम max‑age से शुरू करें, फिर उत्पादन में बढ़ाएँ। 'includeSubDomains' जोड़ें—पर पहले सुनिश्चित करें कि सभी सबडोमेन HTTPS समर्थित हों। पहली विज़िट से सुरक्षा के लिए 'preload' पर विचार करें। HSTS चिपकू होता है: ब्राउज़र नीति को याद रखता है, इसलिए परिनियोजन से पहले गहन परीक्षण करें।

आम गलतियाँ और समस्या निवारण

बहुत ढीली CSP (script‑src '*' या 'unsafe‑eval') सुरक्षा निष्फल कर देती है। लॉगिन पर HSTS न होना डाउनग्रेड हमलों का जोखिम बढ़ाता है। गलत X‑Frame‑Options वैध iframes तोड़ सकता है या clickjacking नहीं रोकता। विरोधी हेडर (X‑Frame‑Options बनाम frame‑ancestors) अप्रत्याशित व्यवहार देते हैं। विभिन्न ब्राउज़र/फ्लो में परीक्षण करें; DevTools से CSP उल्लंघन, HSTS प्रभावशीलता और संवेदनशील पेजों पर हेडर की उपस्थिति जाँचें।

APIs और SPAs के लिए सुरक्षा हेडर

APIs को पारंपरिक पेजों से अलग सेटअप चाहिए: CORS cross‑origin पहुँच नियंत्रित करता है; JSON एंडपॉइंट्स में CSP कम प्रासंगिक हो सकता है। SPAs में CSP सावधानी से कॉन्फ़िग करें ताकि डायनामिक लोडिंग संभव हो और XSS भी रुके। बेहतर आइसोलेशन के लिए COEP/COOP पर विचार करें। API गेटवे/CDN को मूल सर्वर के हेडर सुरक्षित रखना चाहिए। Dev/Staging/Prod में हेडर्स समान रूप से लागू करें।

निगरानी, अनुपालन और बड़े पैमाने पर प्रबंधन

Security Headers, Mozilla Observatory जैसे टूल्स या CI/CD स्कैन से मॉनिटरिंग करें। CSP उल्लंघन और HSTS रिपोर्ट लॉग करें। बड़े परिनियोजन में कॉन्फ़िग‑मैनेजमेंट और 'policies as code' से निरंतरता रखें। नियमित ऑडिट से प्रभावशीलता जाँचें और नए मानकों का मूल्यांकन करें। अनुपालन ढाँचे (जैसे SOC 2, PCI DSS) अक्सर इन हेडरों की अपेक्षा करते हैं।

Further reading

Security headers provide essential protection against web vulnerabilities with minimal performance impact. Implement progressively, monitor violations, test thoroughly across browsers and user flows, and maintain policies as your application evolves. Regular security header audits should be part of your security maintenance routine.