HTTP हेडर विश्लेषक - सुरक्षा हेडर पार्स और ऑडिट ऑनलाइन
सुरक्षा कमजोरियों, कैशिंग व्यवहार और CORS कॉन्फ़िगरेशन के लिए HTTP हेडर का विश्लेषण और ऑडिट करें। कार्रवाई योग्य सुझावों के साथ सुरक्षा स्कोर प्राप्त करें — 100% क्लाइंट-साइड, कोई डेटा सर्वर पर नहीं भेजा जाता।
अक्सर पूछे जाने वाले प्रश्न
HTTP हेडर विश्लेषक क्या है और यह क्या करता है?
HTTP हेडर विश्लेषक एक उपकरण है जो कच्चे HTTP हेडर (अनुरोध और प्रतिक्रिया दोनों) को पार्स करता है और प्रत्येक हेडर के लिए मानव-पठनीय स्पष्टीकरण प्रदान करता है। यह हेडर को कार्य के अनुसार वर्गीकृत करता है (सुरक्षा, कैशिंग, CORS, सामग्री आदि), सुरक्षा ऑडिट करता है और सुरक्षा स्कोर उत्पन्न करता है।
इस HTTP हेडर विश्लेषक का उपयोग कैसे करें?
1. अपने ब्राउज़र के DevTools से HTTP हेडर कॉपी करें। 2. कच्चे हेडर को टेक्स्ट क्षेत्र में पेस्ट करें। 3. अनुरोध या प्रतिक्रिया हेडर चुनें। 4. पार्स किए गए हेडर टैब में परिणाम देखें। 5. सुरक्षा ऑडिट टैब पर जाएं।
क्या मेरा डेटा सुरक्षित है?
बिल्कुल सुरक्षित। यह उपकरण 100% आपके ब्राउज़र में क्लाइंट-साइड JavaScript का उपयोग करके चलता है। कोई भी डेटा किसी सर्वर पर नहीं भेजा जाता। सभी विश्लेषण स्थानीय रूप से होता है।
हर वेबसाइट में कौन से सुरक्षा हेडर होने चाहिए?
हर वेबसाइट को इन महत्वपूर्ण सुरक्षा हेडर को लागू करना चाहिए: (1) HTTPS लागू करने के लिए Strict-Transport-Security (HSTS)। (2) XSS रोकने के लिए Content-Security-Policy। (3) X-Content-Type-Options: nosniff। (4) क्लिकजैकिंग रोकने के लिए X-Frame-Options: DENY। (5) Referrer-Policy। (6) Permissions-Policy।
Content-Security-Policy (CSP) क्या है?
Content-Security-Policy एक HTTP प्रतिक्रिया हेडर है जो ब्राउज़र को बताती है कि पेज पर कौन से संसाधन लोड हो सकते हैं। यह XSS हमलों के खिलाफ सबसे शक्तिशाली रक्षा में से एक है।
सुरक्षा स्कोर की गणना कैसे होती है?
सुरक्षा स्कोर 0-100 का अंक है जो महत्वपूर्ण सुरक्षा हेडर की उपस्थिति और कॉन्फ़िगरेशन गुणवत्ता पर आधारित है। HSTS (15 अंक), CSP (20 अंक), X-Frame-Options (10 अंक), X-Content-Type-Options (10 अंक), Referrer-Policy (10 अंक), Permissions-Policy (10 अंक), COOP (5 अंक), CORP (5 अंक), COEP (5 अंक), और सूचना रिसाव अनुपस्थिति (10 अंक)।
अनुरोध और प्रतिक्रिया हेडर में क्या अंतर है?
अनुरोध हेडर क्लाइंट (ब्राउज़र) द्वारा सर्वर को भेजे जाते हैं जैसे User-Agent, Accept, Authorization। प्रतिक्रिया हेडर सर्वर द्वारा क्लाइंट को भेजे जाते हैं जैसे Content-Type, Cache-Control, सुरक्षा हेडर। सुरक्षा ऑडिट मुख्य रूप से प्रतिक्रिया हेडर पर लागू होता है।
कोड उदाहरण
// HTTP Header Parser and Security Analyzer
function parseHttpHeaders(rawHeaders) {
const headers = [];
for (const line of rawHeaders.split('\n')) {
let cleaned = line.trim();
if (!cleaned) continue;
if (/^HTTP\/[\d.]+\s+\d+/.test(cleaned)) continue;
if (/^(GET|POST|PUT|DELETE|PATCH|HEAD|OPTIONS)\s+/.test(cleaned)) continue;
cleaned = cleaned.replace(/^[<>]\s*/, '');
if (!cleaned) continue;
const i = cleaned.indexOf(':');
if (i === -1) continue;
const name = cleaned.substring(0, i).trim();
const value = cleaned.substring(i + 1).trim();
if (name) headers.push({ name, value });
}
return headers;
}
const SECURITY_CHECKS = [
{ header: 'strict-transport-security', label: 'HSTS', weight: 15 },
{ header: 'content-security-policy', label: 'CSP', weight: 20 },
{ header: 'x-frame-options', label: 'X-Frame-Options', weight: 10 },
{ header: 'x-content-type-options', label: 'X-Content-Type-Options', weight: 10 },
{ header: 'referrer-policy', label: 'Referrer-Policy', weight: 10 },
{ header: 'permissions-policy', label: 'Permissions-Policy', weight: 10 },
];
function auditSecurity(headers) {
const map = new Map(headers.map(h => [h.name.toLowerCase(), h.value]));
let score = 0;
const results = [];
for (const check of SECURITY_CHECKS) {
const value = map.get(check.header);
if (value) {
score += check.weight;
results.push({ header: check.label, status: 'pass', value });
} else {
results.push({ header: check.label, status: 'fail', value: null });
}
}
// Check info leakage
if (!['server', 'x-powered-by'].some(h => map.has(h))) score += 10;
const grade = score >= 95 ? 'A+' : score >= 85 ? 'A' :
score >= 75 ? 'B' : score >= 60 ? 'C' : score >= 40 ? 'D' : 'F';
return { score, grade, results };
}
// Example usage
const raw = `Content-Type: text/html\nStrict-Transport-Security: max-age=31536000\nX-Frame-Options: DENY\nX-Content-Type-Options: nosniff`;
const parsed = parseHttpHeaders(raw);
const audit = auditSecurity(parsed);
console.log(`Score: ${audit.score}/100 (${audit.grade})`);