HTTP Security Header Analyzer

Paste isi HTTP response headers dari aplikasi atau website kamu, lalu lihat ringkasan konfigurasi keamanan seperti HSTS, CSP, X-Frame-Options, dan lain-lain. Semua proses berlangsung di browser.

Input Header

Paste header yang kamu salin dari developer tools browser, curl, atau tools lain.

Menunggu input
Pintasan: Ctrl/⌘ + Enter untuk langsung analisis

Tool ini tidak melakukan request ke server manapun. Analisis hanya berdasarkan teks header yang kamu paste di atas.

Ringkasan Keamanan

Status singkat untuk header-header keamanan penting.

Belum dianalisis

Setelah menekan tombol analisis, status setiap header penting akan muncul di sini.

Detail Header

0 header terbaca
Daftar lengkap header dan nilai yang terbaca akan muncul di sini setelah analisis.

Cara Pakai Singkat & Tips Membaca Hasil

  • Salin HTTP response headers dari browser devtools, curl, atau tools lain.
  • Paste ke kolom input lalu klik Analisis Header atau gunakan pintasan Ctrl/⌘ + Enter.
  • Status hijau berarti konfigurasi header cenderung baik untuk skenario umum.
  • Status kuning berarti ada header, tapi konfigurasi bisa diperketat.
  • Status merah berarti header keamanan penting tidak ditemukan.

Catatan Etis

Gunakan tool ini hanya untuk aset yang kamu miliki atau yang kamu punya izin eksplisit tertulis untuk diuji. Analisis dilakukan sepenuhnya di sisi client, tanpa menyimpan atau mengirim data ke server IsVal.id, dan tanpa melakukan scanning aktif ke target.

FAQ Singkat HTTP Security Headers

Dari mana saya mengambil HTTP response headers?
Buka DevTools browser (tab Network), pilih request halaman, lalu copy bagian “Response Headers”. Kamu juga bisa mengambil dari output curl -I atau log reverse proxy.

Apakah tool ini melakukan scan ke website?
Tidak. Tool hanya membaca teks header yang kamu paste. Tidak ada request tambahan yang dikirim ke domain target dari server IsVal.id.

Apakah hasil “kuning/merah” artinya website pasti tidak aman?
Tidak selalu. Hasil di sini adalah indikasi konfigurasi umum. Keamanan nyata tetap bergantung konteks aplikasi dan kontrol lain yang kamu terapkan.

Studi Kasus Singkat

  • Only HTTPS tanpa HSTS: aplikasi sudah pakai HTTPS, tapi tidak ada header HSTS sehingga user masih bisa di-downgrade ke HTTP melalui link lama.
  • CSP tidak di-set: tidak ada header CSP sama sekali pada aplikasi yang banyak menggunakan input user, membuat serangan XSS lebih mudah dieksploitasi.
  • Cookie sesi tanpa Secure/HttpOnly: session cookie tidak memiliki flag Secure dan HttpOnly, sehingga lebih rentan dicuri lewat koneksi tidak terenkripsi atau script.

Ingin memahami konsep di balik hasil analisis header?

Baca panduan lengkap tentang HTTP Security Headers, HSTS, CSP, dan praktik pentest ringan yang aman di blog IsVal.id.

Pelajari lebih lanjut di artikel kami