Получить HTTP-заголовки

Q: Можно ли проверить заголовки API-эндпоинта?

Да. Введите полный URL вашего API — инструмент покажет Content-Type, CORS-заголовки и код статуса. Проверяйте после каждого деплоя, чтобы убедиться, что API отдаёт application/json, а не text/html.

Введите URL

О программе Получить HTTP-заголовки

Проверка HTTP-заголовков — онлайн-инструмент ToolsPivot, который отправляет запрос к любому URL и показывает полный список заголовков ответа сервера: код статуса, параметры кеширования, политики безопасности, тип контента и данные о редиректах. В отличие от консольного curl, результат доступен за один клик прямо в браузере, без установки и регистрации.

Возможности Проверки HTTP-заголовков от ToolsPivot

Инструмент анализирует HTTP-ответ сервера и выводит каждую пару «имя — значение» в удобном формате. Вот что вы получите после запуска проверки:

Полный список заголовков ответа: отображаются все стандартные и пользовательские заголовки, включая нестандартные X-заголовки. Ни один параметр не скрыт и не отфильтрован.
Код статуса HTTP: первая строка результата — статус ответа (200, 301, 302, 404, 500 и другие). По нему сразу видно, работает ли страница.
Отслеживание цепочек редиректов: если URL перенаправляет на другой адрес, инструмент проходит по всей цепочке и показывает заголовки каждого шага. Полезно при проверке редиректов www/non-www.
Поддержка HTTP и HTTPS: анализирует адреса с обоими протоколами. Для HTTPS-сайтов покажет заголовки безопасности (HSTS, CSP), если они настроены.
Информация о сервере: заголовок Server раскрывает тип веб-сервера (Apache, Nginx, LiteSpeed, IIS). Зная сервер, проще находить документацию для настройки.
Параметры кеширования: Cache-Control, Expires, ETag, Last-Modified — все директивы кеша видны в одном месте. Не нужно открывать DevTools браузера.
Заголовки безопасности: показывает наличие или отсутствие HSTS, X-Frame-Options, Content-Security-Policy, X-Content-Type-Options. По результатам можно решить, что добавить в конфигурацию.
Время ответа сервера: фиксирует, за сколько миллисекунд сервер вернул ответ. Медленный ответ — сигнал проблем с хостингом или бекендом.

Как пользоваться Проверкой HTTP-заголовков от ToolsPivot

Весь процесс занимает 5–10 секунд. Вот пошаговая инструкция:

Откройте инструмент. Перейдите на страницу Get HTTP Headers.
Введите URL. Вставьте полный адрес страницы в поле ввода, включая протокол (http:// или https://).
Запустите проверку. Нажмите кнопку отправки — инструмент выполнит GET-запрос к указанному серверу.
Изучите результат. В таблице результатов отобразятся все заголовки: код статуса в первой строке, далее Content-Type, Cache-Control, Server и остальные поля.
Проверьте редиректы. Если сервер перенаправляет запрос, вы увидите заголовки каждого шага цепочки. Обратите внимание на заголовок Location — он содержит адрес назначения.

Совет: для полной картины проверяйте и http://, и https://версию одного и того же URL. Так вы убедитесь, что SSL-сертификат работает и редирект с HTTP на HTTPS настроен правильно.

Зачем использовать Проверку HTTP-заголовков от ToolsPivot

Мгновенная диагностика без командной строки. Не нужно запоминать синтаксис curl -I или устанавливать утилиты. Один URL, одна кнопка — и все заголовки на экране.
Аудит безопасности за минуту. Проверьте, есть ли на сайте HSTS, CSP и X-Frame-Options. По данным securityheaders.com, больше 70 % сайтов не используют хотя бы один из этих заголовков.
Контроль кеширования. Неправильные директивы Cache-Control — частая причина того, что пользователи видят устаревший контент. Проверка покажет точные значения max-age и no-cache.
Поиск проблем с редиректами. Двойные и тройные перенаправления замедляют загрузку и «размывают» ссылочный вес. Инструмент визуализирует каждый шаг. Для глубокого анализа используйте проверку скорости загрузки.
Проверка API-эндпоинтов. Убедитесь, что ваш REST API возвращает правильный Content-Type (application/json) и CORS-заголовки. Особенно полезно для мобильных приложений.
Подготовка к миграции сайта. Перед переездом на новый домен или CMS (1С-Битрикс, Tilda, WordPress) проверьте, что 301-редиректы отдают корректные заголовки.
Работает на телефоне. Интерфейс адаптирован под мобильные устройства. Можно проверить сервер прямо с телефона, если возникла срочная проблема.

Справочник основных HTTP-заголовков ответа

Результат проверки может содержать десятки строк. Разберём те, на которые стоит обращать внимание в первую очередь.

Content-Type определяет MIME-тип ответа: text/html для веб-страниц, application/json для API, image/png для картинок. Если браузер получает неправильный Content-Type, страница может не отрисоваться. Проверяйте его при отладке проблем с отображением.

Cache-Control управляет поведением кеша. Значение max-age=3600 означает, что браузер хранит копию 1 час. no-store запрещает кеширование полностью, а no-cache разрешает хранить, но требует проверки актуальности у сервера перед использованием. Правильно настроенный кеш снижает нагрузку на сервер и ускоряет загрузку для повторных визитов.

Server показывает, какой веб-сервер обрабатывает запросы: Apache, Nginx, LiteSpeed, Microsoft-IIS. Из соображений безопасности многие администраторы скрывают эту информацию. Если вы видите точную версию (например, Apache/2.4.51) — это повод обсудить настройку с хостингом. Узнать провайдера можно через DNS-проверку.

Location присутствует только в ответах с кодами 3xx. Содержит адрес, на который перенаправляется запрос. Цепочка из трёх и более редиректов — проблема и для SEO, и для скорости.

Set-Cookie создаёт cookies в браузере пользователя. Для защиты персональных данных (152-ФЗ) cookies с конфиденциальной информацией должны содержать флаги Secure и HttpOnly.

Content-Encoding показывает, сжат ли ответ. Значения gzip или br (Brotli) означают, что сервер передаёт данные в сжатом виде. Сжатие сокращает размер страницы на 60–80 %. Если заголовок отсутствует — проверьте настройку через тест GZIP-сжатия.

Коды состояния HTTP — что означают цифры в ответе

Код статуса — первое, на что нужно смотреть в результате проверки. Трёхзначное число делит ответы на пять классов.

2xx — запрос выполнен. Код 200 OK — страница загружена. 201 Created — ресурс создан (актуально для API). 204 No Content — сервер обработал запрос, но тело ответа пустое.

3xx — перенаправление. 301 Moved Permanently — постоянный редирект, передаёт ссылочный вес. Именно его используют при миграции URL. 302 Found — временный редирект, ссылочный вес не передаётся. 304 Not Modified — браузеру можно взять страницу из кеша.

4xx — ошибка клиента. 400 Bad Request — неверный синтаксис запроса. 401 Unauthorized — требуется аутентификация. 403 Forbidden — доступ запрещён. 404 Not Found — страница не существует. Массовые 404-ошибки легко найти с помощью проверки битых ссылок.

5xx — ошибка сервера. 500 Internal Server Error — сбой на стороне сервера. 502 Bad Gateway — проблема с прокси или CDN. 503 Service Unavailable — сервер перегружен или на обслуживании. Для мониторинга доступности используйте проверку статуса сервера.

Заголовки безопасности — на что обратить внимание

Если вы проверяете HTTP-заголовки своего сайта, первым делом ищите эти шесть заголовков. Их отсутствие — уязвимость.

Strict-Transport-Security (HSTS) заставляет браузер использовать только HTTPS. Без этого заголовка пользователь может попасть на незащищённую версию страницы через HTTP-ссылку. Рекомендованное значение: max-age=31536000; includeSubDomains.

Content-Security-Policy (CSP) ограничивает источники загрузки скриптов, стилей и медиа. Грамотная CSP-политика блокирует 90 % XSS-атак. Настройка требует тестирования, но эффект того стоит.

X-Frame-Options защищает от кликджекинга — когда злоумышленник встраивает вашу страницу в iframe на своём сайте. Значение DENY запрещает встраивание полностью, SAMEORIGIN разрешает только с вашего домена.

X-Content-Type-Options со значением nosniff запрещает браузеру «угадывать» тип контента. Без него можно подсунуть вредоносный скрипт под видом картинки.

Referrer-Policy контролирует, какую информацию о переходе передаёт браузер. Для большинства сайтов подходит strict-origin-when-cross-origin.

Permissions-Policy (раньше Feature-Policy) ограничивает доступ к API устройств: камере, микрофону, геолокации. Для коммерческих сайтов на 1С-Битрикс или WordPress это важный уровень защиты.

Проверить все заголовки безопасности можно прямо через ToolsPivot. После анализа сравните результат со списком выше и добавьте недостающие заголовки в конфигурацию Nginx (.conf) или Apache (.htaccess). Владельцы сайтов на Timeweb, Beget и REG.RU могут сделать это через панель управления хостингом.

Когда проверка HTTP-заголовков действительно нужна

Идеально подходит для веб-разработчиков, SEO-специалистов и системных администраторов, которые работают с конфигурацией серверов. Вот конкретные ситуации.

После переезда сайта на HTTPS. Убедитесь, что все HTTP-адреса отдают 301-редирект на HTTPS-версию. Проверьте заголовок HSTS — без него браузеры продолжат пробовать HTTP при каждом первом визите.

При падении позиций в Яндексе или Google. Некорректный код ответа — частая причина вылета страниц из индекса. Если SEO-проверка сайта показывает проблемы, начните с анализа заголовков.

Перед запуском интернет-магазина. На площадках вроде Ozon и Wildberries безопасность — обязательное условие. Если вы используете собственный сайт на OpenCart или 1С-Битрикс, аудит заголовков поможет закрыть уязвимости до старта продаж. Особенно важно для ИП и ООО, обрабатывающих персональные данные покупателей.

При отладке CORS-ошибок. Мобильное приложение не получает данные от API? Скорее всего, сервер не отправляет заголовок Access-Control-Allow-Origin. Проверка покажет это сразу.

Для контроля CDN. Заголовки X-Cache и CF-Cache-Status показывают, отдаёт ли CDN контент из кеша. Если 90 % запросов приходят MISS — конфигурация CDN нуждается в правке.

Особенно полезен для специалистов, которые настраивают robots.txt и симулятор поискового робота — заголовки покажут, что именно получает бот при запросе страницы.

Быстрые ответы о Проверке HTTP-заголовков

Что такое HTTP-заголовки и зачем их проверять?

HTTP-заголовки — метаданные, которые сервер отправляет браузеру вместе с содержимым страницы. Они определяют кеширование, безопасность, тип контента и поведение соединения. Проверка выявляет ошибки конфигурации, пропущенные заголовки безопасности и проблемы с редиректами, которые влияют на SEO и защиту сайта.

Этот инструмент проверки HTTP-заголовков бесплатный?

Да, полностью бесплатный. Регистрация не требуется, ограничений по количеству проверок нет. Просто вставьте URL и получите результат.

Чем отличается онлайн-проверка от curl в терминале?

Результат одинаковый — вы видите те же заголовки, что показал бы curl -I. Но онлайн-инструмент не требует командной строки, работает в любом браузере и автоматически проходит по цепочкам редиректов. Для разработчиков, знакомых с curl, это экономит время при массовой проверке.

Какие заголовки безопасности должны быть на моём сайте?

Минимальный набор: Strict-Transport-Security (HSTS), X-Frame-Options, X-Content-Type-Options, Content-Security-Policy и Referrer-Policy. Эти пять заголовков закрывают основные векторы атак — кликджекинг, XSS, подмену MIME-типов и перехват соединения. Добавить их можно через .htaccess (Apache) или директивы add_header (Nginx).

Что означает код 301 в результатах проверки?

Код 301 Moved Permanently указывает на постоянный редирект — страница навсегда переехала по новому адресу. Этот код передаёт ссылочный вес старого URL на новый, поэтому его используют при смене структуры сайта или переходе на HTTPS.

Почему Cache-Control: no-cache не отключает кеш?

Название вводит в заблуждение. Директива no-cache разрешает браузеру хранить копию, но обязывает проверять актуальность у сервера перед каждым использованием. Чтобы полностью запретить кеширование, нужна директива no-store.

Можно ли проверить заголовки API-эндпоинта?

Да. Введите полный URL вашего API (например, https://api.example.com/v1/users) — инструмент покажет Content-Type, CORS-заголовки и код статуса. Проверяйте после каждого деплоя, чтобы убедиться, что API отдаёт application/json, а не text/html.

Как часто нужно проверять HTTP-заголовки сайта?

После любого изменения конфигурации сервера, обновления CMS и смены хостинга — обязательно. Для постоянного мониторинга достаточно раз в месяц. При миграции сайта проверяйте каждый ключевой URL.

Влияют ли HTTP-заголовки на SEO?

Прямо — да. Коды 3xx определяют, куда передаётся ссылочный вес. Заголовок X-Robots-Tag управляет индексацией не хуже мета-тега robots. Cache-Control влияет на скорость загрузки, а скорость — один из факторов ранжирования в Google и Яндексе. Для полной SEO-диагностики используйте анализ мета-тегов.

Инструмент показывает заголовки для страниц, закрытых паролем?

Для защищённых страниц сервер вернёт код 401 Unauthorized с ограниченным набором заголовков. Содержимое страницы инструмент не покажет — только те заголовки, которые сервер отдаёт до аутентификации.

Как проверить, работает ли GZIP-сжатие через заголовки?

Ищите в результатах строку Content-Encoding: gzip (или br для Brotli). Если её нет, сервер отдаёт контент без сжатия, и страница весит больше, чем могла бы. Детальный анализ доступен через проверку размера страницы.

Можно ли увидеть, какой хостинг использует сайт, через заголовки?

Иногда — да. Заголовок Server может содержать имя хостинга или CDN (например, cloudflare). Дополнительные подсказки дают заголовки X-Powered-By и Via. Для точного определения хостинг-провайдера используйте проверку возраста домена или WHOIS.