Säkerhetskontroll

Security headers: den enklaste säkerhetsvinsten du kan mäta

Rätt HTTP-säkerhetsheaders stoppar hela klasser av attacker — clickjacking, protokoll-downgrade, blandat innehåll. Vi kontrollerar dina headers och visar exakt vad som saknas och varför det spelar roll.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — säkerhet i drift ISO 27001 · A.8.9 konfigurationshantering OWASP · Secure Headers Project

Vad kontrolleras?

Vi hämtar dina svarsheaders och kontrollerar HSTS (och preload), Content-Security-Policy, X-Frame-Options/frame-ancestors, X-Content-Type-Options, Referrer-Policy och CORS-konfiguration — samt att känsliga headers inte läcker serverversioner.

Varför spelar det roll?

Säkerhetsheaders är billiga att sätta och stoppar verkliga attacker: HSTS hindrar downgrade till HTTP, CSP begränsar XSS, X-Frame-Options stoppar clickjacking. Att de saknas är också ett av de vanligaste fynden i en teknisk revision.

Hur Security Guru testar det

Vanliga fel

  • HSTS med kort max-age eller utan includeSubDomains
  • Ingen CSP alls — vanligaste bristen
  • Access-Control-Allow-Origin: * tillsammans med credentials
  • Server-/framework-version läcker i headers

Vad du får i rapporten

  • Varje header: satt/saknas/felkonfigurerad, med exakt värde
  • Rekommenderat värde att sätta per header
  • Prioritering efter vilken attack den faktiskt stoppar
  • Mappning mot OWASP Secure Headers / ISO A.8.9

Vanliga frågor

Påverkar det min sajt?

Kontrollen är passiv — vi läser bara svarsheaders från din publika endpoint. Inga ändringar görs.

Är CSP svårt?

Att börja är enkelt; att låsa hårt tar iteration. Vi ger dig en startpolicy och pekar ut det som ger mest skydd först.

Vad är viktigast?

HSTS och X-Content-Type-Options är enklast att sätta; CSP ger mest skydd men kräver mest arbete. Rapporten prioriterar åt dig.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan