Skip to main content
Toolzer — Free Online Tools

فحص رؤوس الأمان — HSTS و CSP و X-Frame-Options

أدخل أي موقع واحصل على تقييم لرؤوس الأمان: HSTS, CSP, X-Frame-Options, X-Content-Type-Options.

عن الأداة

رؤوس أمان HTTP (Security Headers) هي طبقة دفاع أساسية ضد XSS و clickjacking و MITM و MIME sniffing. هذه الأداة تفحص أي URL وترجع لك تقييمًا فوريًا للرؤوس الحيوية: Strict-Transport-Security (HSTS) لفرض HTTPS، Content-Security-Policy (CSP) لتقييد مصادر السكربتات، X-Frame-Options لمنع تضمين موقعك في iframe مخادع، X-Content-Type-Options: nosniff، وReferrer-Policy، وPermissions-Policy. تحصل على درجة A→F وقائمة اقتراحات بالإصلاحات وأمثلة قيم موصى بها لكل رأس. مفيدة للمطورين قبل الإطلاق ولمختبري الأمان في التقارير.

الأسئلة الشائعة

ما أهم الرؤوس التي يجب تفعيلها اليوم؟

HSTS و CSP و X-Content-Type-Options: nosniff هي الأساس. أضف X-Frame-Options: DENY وReferrer-Policy: strict-origin-when-cross-origin لتغطية الشائع.

هل CSP صعبة الضبط؟

أصعب من غيرها لأنها قد تكسر سكربتات inline. ابدأ بوضع Content-Security-Policy-Report-Only لمراقبة الانتهاكات قبل التفعيل.

ماذا يعني HSTS preload؟

إدراج نطاقك في قائمة يستخدمها Chrome/Firefox لفرض HTTPS من أول زيارة قبل أي رد من خادمك — يتطلب max-age=31536000; includeSubDomains; preload.

هل الأداة تخزّن الروابط المفحوصة؟

لا. الفحص لحظي والنتائج ترجع مباشرة دون تخزين.

هل تفحص شهادات SSL/TLS أيضًا؟

لا، هذه الأداة مخصصة للرؤوس. استخدم أداة SSL Check لتفاصيل الشهادة والخوارزميات.