Referensi Header Keamanan HTTP
Referensi dan pemeriksa header keamanan HTTP β CSP, HSTS, X-Frame-Options, CORS, dan lainnya.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Nilai yang Direkomendasikan: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Risiko Keamanan Tanpa: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Nilai yang Direkomendasikan: max-age=31536000; includeSubDomains; preload
Risiko Keamanan Tanpa: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Nilai yang Direkomendasikan: DENY or SAMEORIGIN
Risiko Keamanan Tanpa: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Nilai yang Direkomendasikan: nosniff
Risiko Keamanan Tanpa: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Nilai yang Direkomendasikan: strict-origin-when-cross-origin
Risiko Keamanan Tanpa: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Nilai yang Direkomendasikan: camera=(), microphone=(), geolocation=(self)
Risiko Keamanan Tanpa: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Nilai yang Direkomendasikan: Specific origin or same-origin only β avoid wildcard (*) for authenticated resources
Risiko Keamanan Tanpa: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Nilai yang Direkomendasikan: GET, POST, PUT, DELETE (only what is needed)
Risiko Keamanan Tanpa: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Nilai yang Direkomendasikan: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Risiko Keamanan Tanpa: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Nilai yang Direkomendasikan: same-origin or same-site
Risiko Keamanan Tanpa: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Nilai yang Direkomendasikan: same-origin
Risiko Keamanan Tanpa: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header β enables the browser's built-in XSS filter. Mostly superseded by CSP.
Nilai yang Direkomendasikan: 1; mode=block (legacy) or omit in favor of CSP
Risiko Keamanan Tanpa: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Pemeriksa Header
Tempel header respons HTTP Anda untuk diperiksa
Tentang alat ini
Header keamanan HTTP adalah header respons khusus yang memberitahu browser web cara melindungi diri dari kerentanan web umum. Berbeda dengan header HTTP umum yang mengendalikan caching atau pengiriman konten, header keamanan menciptakan perimeter defensif di sekitar aplikasi web Anda dengan mencegah serangan seperti cross-site scripting (XSS), clickjacking, eksploitasi jenis MIME, dan pencurian data lintas asal.
Alat ini menyediakan referensi komprehensif untuk semua header keamanan utama sekaligus pemeriksa interaktif yang menganalisis postur keamanan Anda saat ini. Tempel header respons HTTP Anda atau masukkan domain, dan segera lihat header keamanan mana yang ada, mana yang hilang, dan bagaimana konfigurasi Anda dibandingkan dengan praktik terbaik industri.
Pengembang web, insinyur DevOps, dan tim keamanan menggunakan referensi ini untuk memperkuat implementasi mereka tanpa perubahan kode. Sebagian besar header keamanan dikonfigurasi murni melalui pengaturan server, aturan proxy balik, atau plugin framework aplikasi β menjadikannya salah satu kemenangan tercepat untuk meningkatkan ketahanan situs Anda terhadap ancaman modern.
Pertanyaan yang Sering Diajukan
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.