SPONSORED

Security Headers Analyzer

Analisis kualitas security headers website secara real-time. Nilai HSTS, CSP, Referrer-Policy, X-Frame-Options, Permissions-Policy, header cross-origin modern, dan potensi information disclosure dengan score yang actionable.

Masukkan URL untuk menganalisis HSTS, CSP, frame protection, referrer policy, header cross-origin modern, dan information disclosure.

Apa Itu Security Headers Analyzer?

Security Headers Analyzer adalah tool untuk menilai apakah website Anda sudah mengirim HTTP response headers yang penting untuk hardening sisi browser. Tool ini tidak hanya mengecek keberadaan header, tetapi juga menilai kualitas konfigurasi dan memberi rekomendasi yang bisa langsung ditindaklanjuti.

Fokus utamanya adalah header seperti Strict-Transport-Security,Content-Security-Policy, X-Content-Type-Options,Referrer-Policy, proteksi clickjacking, serta header modern seperti Permissions-Policy, COOP, CORP, dan COEP.

Apa Saja yang Dinilai?

  • HTTPS & HSTS: apakah situs benar-benar memakai HTTPS dan menginstruksikan browser untuk memaksanya.
  • CSP: apakah ada Content-Security-Policy yang enforce dan tidak terlalu longgar.
  • Clickjacking Protection: lewat X-Frame-Optionsatau frame-ancestors.
  • MIME Sniffing & Referrer Privacy: lewatX-Content-Type-Options dan Referrer-Policy.
  • Advanced Isolation: header cross-origin modern yang membantu isolasi aplikasi web.
  • Information Disclosure: apakah server masih mengekspos detail stack lewat Server atau X-Powered-By.

Kenapa Header Ini Penting?

Banyak serangan web modern tidak hanya bergantung pada bug aplikasi, tetapi juga memanfaatkan browser behavior default yang terlalu permisif. Security headers membantu mempersempit permukaan serangan dari sisi klien.

Misalnya, HSTS membantu mencegah downgrade ke HTTP, CSP membantu membatasi eksekusi script yang tidak diinginkan, dan header anti-framing membantu mengurangi risiko clickjacking.

Cara Membaca Score

Score pada tool ini adalah indikator praktis, bukan audit compliance formal. Tujuannya untuk membantu Anda melihat area mana yang sudah bagus dan mana yang paling prioritas untuk diperbaiki.

  • Excellent: setup sudah kuat dan hanya butuh fine-tuning kecil.
  • Good: fondasi security headers sudah sehat, tetapi masih ada beberapa perbaikan yang layak dipertimbangkan.
  • Needs Attention: ada celah penting yang sebaiknya segera ditutup.
  • Poor: proteksi browser-side masih lemah dan perlu hardening lebih serius.

FAQ: Pertanyaan Umum

Apakah semua website wajib punya header yang sama?

Tidak selalu. Beberapa header seperti COEP atau CORP lebih relevan untuk use case tertentu. Karena itu tool ini membedakan header inti, header lanjutan, dan information disclosure.

Kenapa CSP saya tetap dapat warning padahal sudah ada?

Karena kualitas CSP juga penting. Policy yang masih mengizinkan 'unsafe-inline' atau tidak menetapkan directive penting bisa jauh kurang efektif dibanding policy yang lebih ketat.

Apakah tool ini menggantikan penetration test?

Tidak. Tool ini fokus pada hardening response headers dan memberi audit cepat yang praktis. Untuk security review menyeluruh, Anda tetap memerlukan pengujian aplikasi dan infrastruktur yang lebih lengkap.