HTTP Başlık Analizi
Header Inspector
Herhangi bir URL'nin HTTP yanıt başlıklarını analiz edin: güvenlik başlıkları, yönlendirme zinciri, önbellek politikası ve güvenlik skoru.
Temel Bilgiler
HTTP Başlıkları (Headers) Nedir?
HTTP başlıkları, tarayıcı ile sunucu arasındaki her istekte ve yanıtta iletilen meta veri çiftleridir. Sayfa içeriğiyle birlikte gelirler ancak kullanıcıya görünmezler. Güvenlik, önbellekleme, içerik türü ve sunucu bilgisini taşırlar.
6
Kritik güvenlik başlığı
HSTS, CSP, XFO ve diğerleri
~20-50
Ortalama başlık sayısı
Tipik bir HTTP yanıtında
100 puan
Maks. güvenlik skoru
Tüm başlıklar tam yapılandırıldığında
< 1 ms
Ekleme maliyeti
Başlık eklemenin performans etkisi
Güvenlik Başlıkları
6 Kritik Güvenlik Başlığı
HSTS
25 puanStrict-Transport-Security
Tarayıcıyı siteye daima HTTPS üzerinden bağlanmaya zorlar.
Örnek değer:
max-age=31536000; includeSubDomains; preloadOlmadığında SSL stripping saldırıları mümkün olabilir.
CSP
25 puanContent-Security-Policy
Hangi kaynaklardan script, stil ve içerik yüklenebileceğini kısıtlar.
Örnek değer:
default-src 'self'; script-src 'self' 'nonce-…'XSS saldırılarına ve veri sızıntısına karşı en güçlü koruma.
XFO
15 puanX-Frame-Options
Sayfanın başka sitelerde iframe içinde gösterilmesini engeller.
Örnek değer:
DENY veya SAMEORIGINOlmadığında clickjacking saldırıları mümkün olabilir.
XCTO
15 puanX-Content-Type-Options
Tarayıcının dosya türünü tahmin etmesini (MIME sniffing) engeller.
Örnek değer:
nosniffOlmadığında yüklenen dosyalar farklı türde yorumlanabilir.
RP
10 puanReferrer-Policy
Kullanıcı bir bağlantıya tıkladığında hangi URL bilgisinin iletileceğini belirler.
Örnek değer:
strict-origin-when-cross-originHassas URL parametrelerinin üçüncü taraflara sızması.
PP
10 puanPermissions-Policy
Kamera, mikrofon, konum gibi tarayıcı API'lerine erişimi kısıtlar.
Örnek değer:
camera=(), microphone=(), geolocation=()Kötü amaçlı script'ler hassas donanım API'lerine erişebilir.
Önbellek Yönetimi
Cache Başlıkları ve Performans
| Başlık | Amaç |
|---|---|
Cache-Control | Kaynak ne kadar önbellekte tutulacak |
ETag | Kaynak sürüm kimliği; koşullu isteklerde kullanılır |
Last-Modified | Kaynağın son değiştirilme tarihi |
Vary | Önbellek varyasyonunu belirler |
Expires | Eski yöntem; Cache-Control tercih edilmeli |
Age | Kaynağın önbellekte kaç saniyedir durduğu |
Gizlilik
Kaldırılması veya Gizlenmesi Gereken Başlıklar
Server: Apache/2.4.52Sorun: Sunucu yazılımı ve sürümü açıkta; saldırganlar bilinen CVE açıklarını hedefleyebilir.
Çözüm: Sürüm bilgisini kaldırın: 'Server: Apache' veya tamamen gizleyin.
X-Powered-By: PHP/8.1.0Sorun: Kullanılan teknoloji ve sürümü ifşa eder.
Çözüm: header_remove('X-Powered-By') veya nginx'te more_clear_headers ile kaldırın.
X-AspNet-VersionSorun: .NET framework sürümü ifşa olur.
Çözüm: Web.config'te <httpRuntime enableVersionHeader='false' />
X-XSS-ProtectionSorun: Artık kullanım dışı; yanlış yapılandırılırsa yeni tarayıcılarda sorun çıkarabilir.
Çözüm: Kaldırın ve yerine güçlü bir CSP politikası ekleyin.
SSS
Sıkça Sorulan Sorular
HTTP başlıkları, güvenlik politikaları ve bu araç hakkında merak edilenleri yanıtlıyoruz.
HTTP başlıkları, tarayıcı ve sunucu arasındaki her HTTP isteğine ve yanıtına eklenen anahtar-değer çiftleridir. İstek başlıkları (tarayıcının sunucuya gönderdiği) ve yanıt başlıkları (sunucunun tarayıcıya gönderdiği) olarak ikiye ayrılır. Sayfa içeriğinden önce iletilirler; içerik türü, dil, önbellekleme ve güvenlik politikaları gibi meta bilgileri taşırlar.
Güvenlik başlıkları, tarayıcıyı saldırılara karşı güçlendiren en ucuz önlemlerdir. CSP XSS saldırılarını, HSTS SSL stripping'i, X-Frame-Options clickjacking'i engeller. Hiçbiri performansı etkilemez; her birinin eklenmesi genellikle nginx/Apache konfigürasyonunda tek satır değişiklik gerektirir.
CSP politikası kaynak direktiflerinden oluşur. Temel bir başlangıç: "Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;". unsafe-inline ve unsafe-eval kullanmaktan kaçının. Nonce veya hash tabanlı yetkilendirme daha güvenlidir. Google Analytics gibi üçüncü taraflar için ilgili domain'i açıkça listelemeniz gerekir.
HSTS preload, sitenizi Chrome ve Firefox'un yerleşik HSTS listesine ekler. Bu listedeki sitelere tarayıcı, hiç HTTP isteği denemeden doğrudan HTTPS bağlantısı kurar. Eklenme için şartlar: HTTPS çalışmalı, max-age en az 1 yıl olmalı, includeSubDomains ve preload direktifleri bulunmalı. hstspreload.org üzerinden başvuru yapabilirsiniz.
İkisi de sayfanın iframe'de yüklenmesini kontrol eder. X-Frame-Options eski bir standarttır; DENY ve SAMEORIGIN seçenekleri sunar. CSP frame-ancestors daha esnektir: belirli domain'lere izin verebilir, birden fazla kaynak belirtebilirsiniz. Modern uygulamalar için CSP frame-ancestors tercih edilir, ancak eski tarayıcı desteği için X-Frame-Options de eklemek önerilir.
Referrer-Policy tanımlı değilse tarayıcı varsayılan davranışı uygular; bu genellikle 'strict-origin-when-cross-origin'dir. Yani aynı site içinde tam URL, farklı siteye geçişte yalnızca origin iletilir. Ancak URL'de e-posta, token veya kişisel bilgi içeren parametreler varsa, bu parametreler üçüncü taraf sitelere sızabilir. 'strict-origin-when-cross-origin' veya 'no-referrer' en güvenli seçimdir.
Evet. Googlebot başlıklarınıza saygı duyar. Cache-Control: no-cache veya no-store koyarsanız Googlebot sayfayı daha sık ziyaret edebilir ama bu her zaman iyi değildir; sunucunuzu zorlar. Statik kaynaklar (CSS, JS, resimler) için uzun max-age + immutable ayarı sayfanın Core Web Vitals skorunu iyileştirir çünkü tekrar ziyaretlerde tarayıcı önbellekten yükler.
Tek bir 301 yönlendirmesi minimal etki gösterir; PageRank değeri yeni URL'ye aktarılır. Ancak zincirleme yönlendirmeler (A→B→C→D) soruna yol açabilir: her atlama Googlebot'un tarama bütçesini tüketir, link değerini azaltır ve sayfa yükleme süresini uzatır. İdeal: her kaynak için tek seferlik, doğrudan son URL'ye yönlendirme.
Header Inspector, GET isteği gönderir ancak yanıt gövdesini (body) indirmez. HEAD isteği bazı sunucularda farklı başlıklar döndürebileceğinden gerçek başlık kümesini görmek için GET tercih edilir. Yanıt gövdesi alınır alınmaz bağlantı sonlandırılır; bu nedenle büyük sayfalar için bile veri tüketimi minimumdur.
Permissions-Policy (eski adı Feature-Policy) şu API'leri kontrol edebilir: camera, microphone, geolocation, payment, usb, autoplay, fullscreen, clipboard-read, clipboard-write, display-capture, midi ve daha fazlası. Örnek: "Permissions-Policy: camera=(), microphone=(), geolocation=(self)" — kamera ve mikrofona erişimi tamamen kapatır, konuma yalnızca aynı origin erişebilir.