HTTP Headers inspecteren

Bekijk de statuscode, redirects, server-info en security-headers (HSTS, CSP, X-Frame-Options, etc.) van een website.

Bezig met opvragen...

Over de HTTP headers inspector

De HTTP headers check laat zien hoe een webserver reageert: de statuscode, de volledige redirect-keten van http naar https of tussen domeinen, de server-software en alle response headers. De zes belangrijkste security headers worden apart beoordeeld: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy en Permissions-Policy.

Bij elke ontbrekende header staat een uitklapbaar advies met een kopieerbare regel voor je .htaccess of vhost-configuratie, inclusief de valkuilen zoals het testen van een CSP in report-only modus. Handig voor het hardenen van een website, het debuggen van redirect-loops en caching-problemen, of het controleren van een site na een migratie.

Veelgestelde vragen

Welke security headers zijn het belangrijkst?

Strict-Transport-Security (HSTS) dwingt HTTPS af en is de belangrijkste. Daarna X-Content-Type-Options tegen MIME-sniffing en X-Frame-Options tegen clickjacking, beide één regel werk. Content-Security-Policy biedt de sterkste bescherming tegen XSS maar vergt testen. Referrer-Policy en Permissions-Policy zijn de nette afronding.

Schaden ontbrekende security headers mijn SEO?

Niet direct: Google gebruikt security headers niet als ranking-signaal. Indirect wel, want HTTPS is wél een ranking-factor en HSTS voorkomt onveilige tussenstappen. Bovendien wegen browserwaarschuwingen en gehackte pagina's veel zwaarder dan welk ranking-signaal dan ook.

Wat zie ik in de redirect-keten?

Elke tussenstap tussen de opgevraagde URL en de uiteindelijke pagina, met de statuscode per stap. Idealiter is er hooguit één redirect, bijvoorbeeld van http naar https. Kettingen van meerdere redirects kosten laadtijd en verwateren de linkwaarde voor zoekmachines.