Co to jest HSTS i jak go skonfigurować?

**HTTP Strict-Transport-Security** mówi przeglądarce: "przez najbliższe N sekund łącz się z tą domeną tylko po HTTPS, nawet jeśli użytkownik wpisze `http://`". Standardowa konfiguracja: `Strict-Transport-Security: max-age=63072000; includeSubDomains; preload`. `max-age=63072000` to 2 lata w sekundach (minimum dla [listy preload Chrome](https://hstspreload.org/)). `includeSubDomains` obejmuje `api.twoja-strona.pl`, `cdn.twoja-strona.pl` itd. `preload` pozwala wysłać domenę do listy wbudowanej w przeglądarkę. Pułapka: po wystawieniu HSTS z długim max-age **nie wycofasz się łatwo**, bo każda przeglądarka, która już to zobaczyła, pamięta. Najpierw przetestuj na `max-age=300`.

Co to jest Content-Security-Policy w jednej minucie?

**CSP to whitelist tego, skąd strona może ładować zasoby**. Sensowny start: `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'`. To znaczy: ładuj wszystko z mojej własnej domeny, żadnych skryptów z zewnątrz, żadnych pluginów typu Flash, nikt mnie nie iframe'uje. **Większość ataków XSS umiera na granicy CSP**, bo wstrzyknięty skrypt pochodzi z domeny atakującego, której nie ma na whiteliście. Trudna część to przepuszczenie zewnętrznych rzeczy, których naprawdę używasz (Google Analytics, Stripe, Cloudflare Insights) bez otwierania furtki na `'unsafe-inline'`. Do tego służą **nonce** albo **hashe**.

X-Frame-Options vs CSP frame-ancestors, co wygrywa?

**Obydwa działają, frame-ancestors to nowoczesna droga**. `X-Frame-Options: DENY` (albo `SAMEORIGIN`) to rok 2009 i sposób na powiedzenie "nie iframe'uj mnie". CSP-owe `frame-ancestors 'none'` to rok 2014 i jest **bardziej elastyczne**, bo możesz wymienić konkretnych rodziców (`frame-ancestors 'self' https://partner.pl`). Nowoczesne przeglądarki preferują `frame-ancestors`, jeśli oba są ustawione. Dla maksymalnej kompatybilności **ustaw oba**. Nasz inspektor przyznaje punkt, jeśli jest przynajmniej jeden.

Po co ukrywać X-Powered-By i wersję Server?

**Obrona warstwowa**. Jeśli w każdej odpowiedzi widnieje `Server: Apache/2.4.41 (Ubuntu)` i `X-Powered-By: PHP/7.4.3`, atakujący skanujący CVE **wie dokładnie, które exploity uruchomić**. Usunięcie tych nagłówków nie naprawia żadnej luki, ale podnosi koszt automatycznych ataków drive-by. Express: `app.disable('x-powered-by')`. nginx: `server_tokens off;`. Apache: `ServerTokens Prod` + `ServerSignature Off`. PHP: `expose_php = Off` w `php.ini`. Goły `Server: nginx` jest w porządku; wersja jest tym, co liczy.

Jak działa Permissions-Policy?

To **opt-out na poziomie HTTP** dla funkcji przeglądarki, z których strona (i jej iframe'y) mogą korzystać. Przykład: `Permissions-Policy: camera=(), microphone=(), geolocation=(), interest-cohort=()`. Puste nawiasy znaczą "nikt, nawet ja". Jeśli na jednej podstronie używasz geolokalizacji, ustaw `geolocation=(self)`. `interest-cohort=()` opt-outuje z [FLoC](https://github.com/WICG/floc) (kohortowe śledzenie Google). **Sednem jest izolacja iframe'ów**: nawet jeśli osadzona reklama wywoła `navigator.geolocation.getCurrentPosition`, przeglądarka odmówi, bo rodzic nie delegował tego uprawnienia.

Kiedy używać Cache-Control, a kiedy ETag?

**Obydwu, rozwiązują różne problemy**. `Cache-Control: public, max-age=31536000, immutable` jest właściwy dla **zasobów z fingerprintem** (`app.a1b2c3.js`): przeglądarka nie pyta przez rok, czyli jest szybko. `Cache-Control: no-cache` plus `ETag` jest właściwy dla **stron HTML**: przeglądarka zawsze pyta serwer, ale dostaje cache'owany body, jeśli ETag się zgadza (szybkie `304 Not Modified`). **`no-cache` nie znaczy "nie cache'uj"** (od tego jest `no-store`); znaczy "zawsze najpierw rewaliduj". Większość produkcji robi sztuczkę z fingerprintami dla JS/CSS/obrazków plus krótkie `max-age` (60 do 300s) i `s-maxage` dla HTML.

Moja strona ma 5 redirectów w łańcuchu, to źle?

**Jest wolno, ale nie zawsze jest zepsuto**. Każdy hop to DNS plus TCP plus TLS plus jeden round-trip, typowo 50 do 200 ms. Pięć hopów to 0,5 do 1 sekundy zanim użytkownik cokolwiek zobaczy. Częsty winowajca: `http://example.pl` do `https://example.pl` do `https://www.example.pl` do `https://www.example.pl/pl/` do `https://www.example.pl/pl/home/`. **Naprawiasz to składając łańcuch w jeden krok**: http-do-https, www-vs-bez i ukośnik-na-końcu w jednym redirect. Domeny śledzące marketingu (`bit.ly`, `t.co`) też dokładają swoje hopy; z tym niewiele zrobisz.

Czym to się różni od securityheaders.com?

**Ta sama idea, lekko inna punktacja**. securityheaders.com to **referencja branżowa**, robi Scott Helme, ocenia A+ do F. Nasz tool daje **pełen łańcuch hopów** z czasami per hop (tamten zwija redirecty), pokazuje **każdy nagłówek** finalnej odpowiedzi pogrupowany po przeznaczeniu (cache, CORS, serwer, custom) i używa podobnego rubryka A-F z **bonusem po jednym za ukrytą wersję Server i brak X-Powered-By**. Rekomendacje zawierają **konkretne linijki konfiguracji** gotowe do wklejenia. Używaj obu, drugie zdanie kosztuje grosze.

Czy URL, który sprawdzam, jest gdzieś zapisywany?

**Nie**. URL trafia do naszej funkcji serverless, ona pobiera **tylko nagłówki** (kasujemy body w chwili, gdy nagłówki dotrą, więc treść strony nigdy nie jest ściągana), liczy ocenę, zwraca JSON. **Nic nie jest logowane, nic nie ląduje na dysku, nie odpalają się analytics**. Limit: **30 zapytań na godzinę** na IP, mapa w pamięci, resetuje się przy cold-starcie. Ochrona SSRF odrzuca prywatne i loopbackowe hosty na każdym hopie, więc redirect na `10.0.0.1` nie ma szans przejść.

Inspektor nagłówków HTTP - darmowy

Co pokazuje inspektor nagłówków HTTP?

Wklej adres, kliknij Sprawdź, a nasz serwer prześledzi łańcuch przekierowań skok po skoku (do 5 hopów), zapisze dla każdego kod statusu, nagłówki i czas, a na końcu wystawi ocenę bezpieczeństwa A-F dla nagłówków finalnej strony.

Widzisz dokładnie to, co widzi przeglądarka po drodze: każdy redirect, każdy Set-Cookie, każdy Cache-Control, każdą linijkę CORS. Plus kartę bezpieczeństwa, która prostym językiem mówi, czy masz Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy i Permissions-Policy, a do tego bonusy za ukrycie wersji Server i usunięcie X-Powered-By.

Dla każdego brakującego nagłówka dostajesz gotową linijkę konfiguracji do wklejenia w nginx, Apache, Express albo na CDN.

Jak używać

Wklej pełny adres (np. `https://twoja-strona.pl`). Bez `https://` dorobimy go sami.
Kliknij Sprawdź lub wciśnij Enter. Serwer ma 8 sekund na każdy skok i 20 sekund na całość. Typowo: 200 do 800 ms.
Przeczytaj łańcuch przekierowań od góry do dołu: skok 1, skok 2, itd. Każdy pokazuje URL, kod statusu (`301`, `302`, `308`) i ile serwer odpowiadał.
Spójrz na kartę oceny bezpieczeństwa: literka A-F plus wynik liczbowy z 10. Każdy filar (HSTS, CSP, ...) to wiersz z zielonym ptaszkiem lub czerwonym krzyżykiem i jednolinijkową poprawką.
Otwórz Wszystkie nagłówki odpowiedzi (ostatni skok), żeby zobaczyć każdy nagłówek pogrupowany na Bezpieczeństwo, Cache, CORS, Serwer, Inne. Wartość kopiujesz jednym kliknięciem.

Kiedy się przydaje

Siedem typowych sytuacji, w których chcesz samodzielnie przejrzeć nagłówki:

Nowa strona idzie na produkcję. Sprawdzasz, czy łańcuch przekierowań jest krótki (max jeden 301) i czy HSTS, CSP, X-Content-Type-Options są ustawione, zanim marketing puści URL.
Securityheaders.com dał Ci B. Z rozbiciem oceny widzisz, których dwóch nagłówków brakuje do A, i wklejasz polecane linie do nginx.
Cache działa dziwnie. Patrzysz na Cache-Control, ETag, Last-Modified, Vary na ostatnim hopie. Jeśli widzisz `Cache-Control: no-store` zamiast oczekiwanego `max-age=3600`, wiesz, że CDN albo origin coś usuwa.
Błędy CORS w przeglądarce. Sprawdzasz Access-Control-Allow-Origin / -Methods / -Headers / -Credentials na pechowym endpointcie. Inspektor pokazuje dokładne wartości serwera, bez grzebania w DevTools.
Podejrzany redirect. Niektóre narzędzia marketingowe robią po 4 do 5 redirectów przez domeny śledzące. Lista hopów pokazuje każdy krok i czas, więc wyłapiesz tego wolnego.
Debug CDN. Porównujesz nagłówki na origin i na edge. Różne X-Cache, Age, Server, Via mówią Ci, czy CDN serwuje z cache, czy ciągnie świeże.
Audyt zgodności. Checklist wymaga HSTS preload, brak X-Powered-By i Permissions-Policy. Inspektor potwierdza albo zaprzecza dla każdego punktu z gotową rekomendacją.

Pytania i odpowiedzi

To nagłówki odpowiedzi, które przeglądarka czyta zanim wyrenderuje stronę. Każdy zamyka inny wektor ataku. HSTS blokuje downgrade attack (HTTP zamiast HTTPS). CSP blokuje wstrzyknięte skrypty (XSS) i eksfiltrację danych. X-Frame-Options blokuje clickjacking (Twoja strona w cudzym iframe). X-Content-Type-Options: nosniff blokuje MIME-sniffing. Referrer-Policy blokuje wyciek wrażliwych URL-i w nagłówku Referer. Permissions-Policy blokuje embedowane ramki przed dorwaniem kamery, mikrofonu lub lokalizacji. Są darmowe, ustawiane po stronie serwera i obsługiwane przez każdą nowoczesną przeglądarkę, więc nie ma dobrego powodu, żeby ich nie mieć.

Co pokazuje inspektor nagłówków HTTP?

Dla każdego brakującego nagłówka dostajesz gotową linijkę konfiguracji do wklejenia w nginx, Apache, Express albo na CDN.

Jak używać

Wklej pełny adres (np. `https://twoja-strona.pl`). Bez `https://` dorobimy go sami.

Kliknij Sprawdź lub wciśnij Enter. Serwer ma 8 sekund na każdy skok i 20 sekund na całość. Typowo: 200 do 800 ms.

Przeczytaj łańcuch przekierowań od góry do dołu: skok 1, skok 2, itd. Każdy pokazuje URL, kod statusu (`301`, `302`, `308`) i ile serwer odpowiadał.

Spójrz na kartę oceny bezpieczeństwa: literka A-F plus wynik liczbowy z 10. Każdy filar (HSTS, CSP, ...) to wiersz z zielonym ptaszkiem lub czerwonym krzyżykiem i jednolinijkową poprawką.

Otwórz Wszystkie nagłówki odpowiedzi (ostatni skok), żeby zobaczyć każdy nagłówek pogrupowany na Bezpieczeństwo, Cache, CORS, Serwer, Inne. Wartość kopiujesz jednym kliknięciem.

Kiedy się przydaje

Siedem typowych sytuacji, w których chcesz samodzielnie przejrzeć nagłówki:

Nowa strona idzie na produkcję. Sprawdzasz, czy łańcuch przekierowań jest krótki (max jeden 301) i czy HSTS, CSP, X-Content-Type-Options są ustawione, zanim marketing puści URL.
Securityheaders.com dał Ci B. Z rozbiciem oceny widzisz, których dwóch nagłówków brakuje do A, i wklejasz polecane linie do nginx.
Cache działa dziwnie. Patrzysz na Cache-Control, ETag, Last-Modified, Vary na ostatnim hopie. Jeśli widzisz `Cache-Control: no-store` zamiast oczekiwanego `max-age=3600`, wiesz, że CDN albo origin coś usuwa.
Błędy CORS w przeglądarce. Sprawdzasz Access-Control-Allow-Origin / -Methods / -Headers / -Credentials na pechowym endpointcie. Inspektor pokazuje dokładne wartości serwera, bez grzebania w DevTools.
Podejrzany redirect. Niektóre narzędzia marketingowe robią po 4 do 5 redirectów przez domeny śledzące. Lista hopów pokazuje każdy krok i czas, więc wyłapiesz tego wolnego.
Debug CDN. Porównujesz nagłówki na origin i na edge. Różne X-Cache, Age, Server, Via mówią Ci, czy CDN serwuje z cache, czy ciągnie świeże.
Audyt zgodności. Checklist wymaga HSTS preload, brak X-Powered-By i Permissions-Policy. Inspektor potwierdza albo zaprzecza dla każdego punktu z gotową rekomendacją.

Pytania i odpowiedzi

Inspektor nagłówków HTTP

Co pokazuje inspektor nagłówków HTTP?

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Sprawdzanie certyfikatu SSL

Podgląd OpenGraph / Twitter Card

Tester zapytań HTTP

Detektor HTTP/2, HTTP/3 i QUIC

Detektor CDN i chmury

Inspektor nagłówków HTTP

Co pokazuje inspektor nagłówków HTTP?

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Sprawdzanie certyfikatu SSL

Podgląd OpenGraph / Twitter Card

Tester zapytań HTTP

Detektor HTTP/2, HTTP/3 i QUIC

Detektor CDN i chmury