Проверьте HTTP-заголовки своего веб-сервера

Проверяются HTTP-заголовки безопасности, кэширования, сжатия, устаревшие и бесполезные заголовки, непротиворечивость заголовков, 304 ответы сервера.

Правильные HTTP-заголовки повышают безопасность и доверие к сайту в том числе и со стороны поисковиков, могут влиять на позиции сайта в Яндекс и Google, экономят ресурсы сервера, снижают нагрузку на сервер, тем самым способствуют увеличению скорости ответа сервера, которая опять влияет на ранжирование сайта в поиске, экономят деньги на оплату мощного хостинга, который возможно и не требуется для сайта при правильной настройке.

Проверьте заголовки не только для страниц сайта, но и для статического контента картинок, css и js файлов. Проверьте по отдельности заголовки If-Modified-Since и If-None-Match — выдаёт ли ваш веб-сервер 304 Not Modified.

Детально читайте статьи «настройка HTTP-заголовков» и «настраиваем HTTP2 для веб-сервера Apache под Linux CentOS 7».

Замечания и дополнения можно прислать в Телеграм @itsoft7.

Анализ заголовков веб-сервера

Заголовки http-запроса
Произвольные дополнительные заголовки http-запроса, например, Upgrade-Insecure-Requests, Referer, Origin, Cookie, Connection
Прочие параметры http-запроса
Сбросить настройки

HTTP Request и параметры соединения

https://egrul.itsoft.ru/7730588444.xml.gz
content_type: text/xml; charset=UTF-8
request_size: 361
primary_ip: 195.93.180.112
primary_port: 443
local_ip: 94.79.55.129
local_port: 49966
GET /7730588444.xml.gz HTTP/2
Host: egrul.itsoft.ru
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
accept-encoding: br
accept-language: en
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36


Результат загрузки данных

Общее время загрузки total_time: 0.126699 секунд.
Проверка SSL ssl_verify_result: ok the operation was successful.
Длина заголовка ответа header_size: 457 байт.
Время получение IP-адреса под домену namelookup_time: 0.0702 секунд.
Время на установку соединения connect_time: 0.080526 секунд.
Время передачи первого байта контента starttransfer_time: 0.126613 секунд.
Размер контента size_download: 5141 байт.
Скорость загрузки: 0.31 Mbit/s.

HTTP Headers

Array
(
    [0] => HTTP/2 200
    [server] => nginx/1.20.1
    [date] => Tue, 06 Jun 2023 03:17:35 GMT
    [content-type] => text/xml; charset=UTF-8
    [content-length] => 5141
    [x-powered-by] => PHP/7.3.33
    [access-control-allow-credentials] => false
    [access-control-allow-origin] => *
    [access-control-expose-headers] => *
    [cache-control] => max-age=86400, public
    [last-modified] => Thu, 27 Oct 2022 11:55:10 GMT
    [etag] => 35edb6a3d835ed660ea6ceaa55c5fcd6
    [link] => <https://egrul.itsoft.ru/7730588444.xml>; rel="canonical"
)
Количество байт контента загружено: 5141

Анализ HTTP-заголовков

HTTP/2 200
server: nginx/1.20.1
date: Tue, 06 Jun 2023 03:17:35 GMT
content-type: text/xml; charset=UTF-8
content-length: 5141
x-powered-by: PHP/7.3.33
access-control-allow-credentials: false
access-control-allow-origin: *
access-control-expose-headers: *
cache-control: max-age=86400, public
last-modified: Thu, 27 Oct 2022 11:55:10 GMT
etag: 35edb6a3d835ed660ea6ceaa55c5fcd6
link: &lt;https://egrul.itsoft.ru/7730588444.xml&gt;; rel=&quot;canonical&quot;

Server: это необязательно всем рассказывать.
X-Powered-By: ни к чему рассказывать всем что внутри у вашего сервера.
Отсутствует X-Content-Type-Options. -2 балла.
Отсутствует X-XSS-Protection. -2 балла.
Отсутствует Strict-Transport-Security. -5 баллов.
Отсутствует Referrer-Policy. -2 балла.
Отсутствует Feature-Policy. -2 балла.
Отсутствуют Content-Security-Policy и Content-Security-Policy-Report-Only. -5 баллов.
Отсутствует X-Frame-Options. -2 балла.
Отсутствует X-Content-Type-Options. -2 балла.
Сервер правильно ответил 304 Not Modified на запрос с заголовком If-Modified-Since: Thu, 27 Oct 2022 11:55:10 GMT

Посмотреть ответ сервера на запрос с заголовком If-Modified-Since: Thu, 27 Oct 2022 11:55:10 GMT. Если страница не изменилась, то сервер должен вернуть 304 Not Modified.

Сервер правильно ответил 304 Not Modified на запрос с заголовком If-None-Match: 35edb6a3d835ed660ea6ceaa55c5fcd6

Посмотреть ответ сервера на запрос с заголовком If-None-Match: 35edb6a3d835ed660ea6ceaa55c5fcd6. Если страница не изменилась, то сервер должен вернуть 304 Not Modified.

Array ( [name] => /CN=*.itsoft.ru [subject] => Array ( [CN] => *.itsoft.ru ) [hash] => 8f6f0c05 [issuer] => Array ( [C] => BE [O] => GlobalSign nv-sa [CN] => AlphaSSL CA - SHA256 - G2 ) [version] => 2 [serialNumber] => 14200079073060362701877573431 [serialNumberHex] => 2DE207B5061E49D3A1FC7737 [validFrom] => 220823095119Z [validTo] => 230924095118Z [validFrom_time_t] => 1661248279 [validTo_time_t] => 1695549078 [signatureTypeSN] => RSA-SHA256 [signatureTypeLN] => sha256WithRSAEncryption [signatureTypeNID] => 668 [purposes] => Array ( [1] => Array ( [0] => 1 [1] => [2] => sslclient ) [2] => Array ( [0] => 1 [1] => [2] => sslserver ) [3] => Array ( [0] => 1 [1] => [2] => nssslserver ) [4] => Array ( [0] => [1] => [2] => smimesign ) [5] => Array ( [0] => [1] => [2] => smimeencrypt ) [6] => Array ( [0] => [1] => [2] => crlsign ) [7] => Array ( [0] => 1 [1] => 1 [2] => any ) [8] => Array ( [0] => 1 [1] => [2] => ocsphelper ) [9] => Array ( [0] => [1] => [2] => timestampsign ) ) [extensions] => Array ( [keyUsage] => Digital Signature, Key Encipherment [authorityInfoAccess] => CA Issuers - URI:http://secure.globalsign.com/cacert/gsalphasha2g2r1.crt OCSP - URI:http://ocsp2.globalsign.com/gsalphasha2g2 [certificatePolicies] => Policy: 1.3.6.1.4.1.4146.1.10.10 CPS: https://www.globalsign.com/repository/ Policy: 2.23.140.1.2.1 [basicConstraints] => CA:FALSE [crlDistributionPoints] => Full Name: URI:http://crl.globalsign.com/gs/gsalphasha2g2.crl [subjectAltName] => DNS:*.itsoft.ru, DNS:itsoft.ru [extendedKeyUsage] => TLS Web Server Authentication, TLS Web Client Authentication [authorityKeyIdentifier] => keyid:F5:CD:D5:3C:08:50:F9:6A:4F:3A:B7:97:DA:56:83:E6:69:D2:68:F7 [subjectKeyIdentifier] => 95:64:EF:AA:8A:71:96:04:87:C6:6D:7E:F4:43:5C:53:EB:80:77:CF [ct_precert_scts] => Signed Certificate Timestamp: Version : v1(0) Log ID : E8:3E:D0:DA:3E:F5:06:35:32:E7:57:28:BC:89:6B:C9: 03:D3:CB:D1:11:6B:EC:EB:69:E1:77:7D:6D:06:BD:6E Timestamp : Aug 23 09:51:21.251 2022 GMT Extensions: none Signature : ecdsa-with-SHA256 30:46:02:21:00:CE:B3:4B:03:E2:29:A0:54:13:40:28: B2:B6:0C:C3:0C:C4:DD:04:05:D0:86:9B:59:D1:B1:13: CB:58:B5:85:4C:02:21:00:84:E2:07:1B:E2:56:54:0E: C4:78:2E:54:B8:4F:99:97:11:32:D5:30:E2:40:94:0C: 72:39:49:8C:7B:34:C3:B9 Signed Certificate Timestamp: Version : v1(0) Log ID : 6F:53:76:AC:31:F0:31:19:D8:99:00:A4:51:15:FF:77: 15:1C:11:D9:02:C1:00:29:06:8D:B2:08:9A:37:D9:13 Timestamp : Aug 23 09:51:21.233 2022 GMT Extensions: none Signature : ecdsa-with-SHA256 30:44:02:20:19:6F:8A:8F:65:C1:07:38:54:35:B1:60: 88:DE:D3:36:72:55:65:E4:1B:4D:E6:C0:48:BF:7C:84: 5A:A6:C7:39:02:20:20:13:F1:09:75:65:EA:06:EB:E4: 2C:1D:9A:44:F4:1D:07:0E:31:90:26:21:68:56:77:35: 9E:4E:05:12:63:32 Signed Certificate Timestamp: Version : v1(0) Log ID : 55:81:D4:C2:16:90:36:01:4A:EA:0B:9B:57:3C:53:F0: C0:E4:38:78:70:25:08:17:2F:A3:AA:1D:07:13:D3:0C Timestamp : Aug 23 09:51:21.279 2022 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:20:76:48:B4:E2:5F:50:DA:3F:D4:8B:8C:F8: 3A:35:8E:CF:72:61:06:0C:66:C9:D0:2E:AA:8A:91:20: A5:38:3C:C3:02:21:00:A2:5F:2D:E8:0A:DF:24:6D:4F: 73:41:43:78:3B:8C:76:E7:6E:FF:BD:00:DA:6A:D2:9A: A4:2A:BF:F8:1C:35:6B ) )

Итоговая оценка качества настройки веб-сервера 28 из 50 возможных

Если вам нужна помощь с настройкой и оптимизацией веб-сервера, то вы можете заказать услуги по поддержке веб-сайта и администрированию серверов.
© веб-студия и дата-центр itsoft English version English version