Vai al contenuto principale
Accedi
CaptainDNS

Propagazione e diagnostica

Confronta i resolver in tutto il mondo e ispeziona le risposte restituite.

Diagnostica email

Strumenti per verificare e convalidare la configurazione di autenticazione e-mail.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Recapitabilità

Audit deliverabilityAnalizzatore intestazioniTester emailVerifica blacklist IPVerifica blacklist dominioAppiattitore SPFRicerca selettori DKIMVerificatore SMTP/MX

Proteggere e Monitorare

Generatori di record, hosting di policy e monitoraggio continuo.

Rete e Web

Strumenti di rete, analisi di pagine web e certificati.

Strumenti IP

Il mio indirizzo IP

Rileva i tuoi indirizzi IPv4/IPv6 e la loro geolocalizzazione.

Ricerca inversa

Risolve un record PTR e verifica la coerenza DNS.

WhoIs IP

Identifica il proprietario di un intervallo IP e i suoi contatti.

Maschera IPv4

Calcola la rete, il broadcast e gli host utilizzabili di qualsiasi blocco IPv4.

Calcolatore di sottoreti IPv6

Calcola sottoreti IPv6, intervalli di indirizzi e voci DNS inverso.

Certificati e BIMI

Analizzatore logo BIMI

Analizza l'URL di un logo BIMI, il formato, i metadati e il rendering.

BIMI SVG Converter

Converti qualsiasi SVG nel formato Tiny-PS compatibile BIMI in pochi secondi.

Analizzatore CSR

Ispeziona un CSR, estrai dettagli del soggetto, impronte digitali e SAN richiesti.

Ispettore VMC

Analizza un Verified Mark Certificate: autorità emittente, validità e SAN prima di pubblicare il BIMI.

Web

Verificatore peso pagina

Verifica se la tua pagina supera il limite di 2 MB di Googlebot.

Verificatore URL di phishing

Verifica se un URL è segnalato come phishing o malware da 4 fonti.

Visualizzatore di header HTTP

Ispeziona gli header HTTP restituiti da un URL, con annotazioni per gli header di sicurezza.

Test HSTS

Analizza la policy HSTS di un dominio e il suo stato sulla preload list di Chromium.

Redirect Checker

Analizza le catene di reindirizzamenti HTTP

Reindirizzamento dominio

Reindirizza i tuoi domini con HTTPS automatico e redirect 301/302.

HTTP Uptime Monitor

Monitora la disponibilità dei tuoi siti con controlli pianificati e avvisi via email.

Pagine di stato

Pubblica una pagina pubblica che raggruppa i tuoi monitor HTTP.

Strumenti sviluppatore

Utilità di testo e strumenti per lo sviluppo quotidiano.

Testo

Trasforma e misura i tuoi contenuti in pochi secondi.

Convertitore maiuscole/minuscole

Converti istantaneamente qualsiasi testo in maiuscolo o minuscolo.

Generatore di slug

Trasforma qualsiasi titolo in uno slug ottimizzato SEO in pochi secondi.

Conteggio parole e caratteri

Misura la lunghezza di qualsiasi testo con conteggi immediati di parole e caratteri.

Generatore di password

Genera password casuali sicure e frasi di accesso facili da ricordare.

Sviluppatore

Codifica, hashing, regex e formattazione per il lavoro quotidiano.

Codificatore / decodificatore Base64

Codifica o decodifica contenuti Base64 direttamente dal browser.

Generatore di hash

Calcola gli hash MD5, SHA-1, SHA-256 e SHA-512 di qualsiasi testo.

Codificatore / decodificatore URL

Codifica o decodifica il testo con percent-encoding (RFC 3986) direttamente nel browser.

Tester regex

Testa un'espressione regolare contro un testo e visualizza le corrispondenze.

Formattatore JSON / YAML

Formatta, valida e converti JSON e YAML in un clic.

Analizzatore Header HTTP con Voto di Sicurezza

Verifica i tuoi header HTTP di sicurezza e ottieni un voto da A a F

Inserisci un URL per analizzare gli header HTTP restituiti dal server. Lo strumento rileva i 10 security header essenziali (CSP, HSTS, X-Frame-Options, ecc.) e calcola un punteggio ponderato con un voto da A a F.

Perché analizzare i tuoi header HTTP di sicurezza?

Gli header HTTP di sicurezza costituiscono la prima linea di difesa del tuo sito web sul lato browser. Senza CSP, senza HSTS, senza X-Frame-Options, lasci agli attaccanti angoli di attacco che gli standard moderni sanno chiudere. Un test di sicurezza sito web regolare permette di rilevare queste dimenticanze prima che si trasformino in incidente.

Il nostro analizzatore recupera gli header HTTP restituiti dal tuo server, li confronta con le raccomandazioni OWASP e Mozilla, poi calcola un punteggio ponderato accompagnato da un voto da A a F. In 30 secondi ottieni una vista chiara delle lacune da correggere.

Tre casi d'uso principali:

  • Audit di messa in produzione: validare la configurazione dei security header prima dell'apertura pubblica
  • Monitoraggio della conformità: preparare un audit PCI DSS, ISO 27001 o SOC 2 che richiede questi controlli
  • Risposta a incidente: verificare che nessun header HTTP critico sia stato rimosso dopo un aggiornamento del server

Come usare l'analizzatore in 3 passi

Passo 1: inserire l'URL da testare

Indica l'URL completa da analizzare, ad esempio https://captaindns.com. Lo strumento accetta URL pubblici accessibili sia in HTTPS che in HTTP, e segue il primo reindirizzamento se necessario.

Passo 2: avviare l'analisi degli header

Clicca su Analizza header. Il server effettua una richiesta GET verso l'URL, cattura tutti gli header HTTP restituiti e applica poi le regole di scoring sui 10 security header monitorati.

Passo 3: leggere il voto e i consigli

Ottieni:

  • Il voto da A a F e il punteggio su 100
  • Il dettaglio header per header con stato presente/assente
  • I valori raccomandati per ogni header mancante
  • I tooltip pedagogici che spiegano il ruolo di ogni header

Cosa sono gli header HTTP di sicurezza?

Un header HTTP è una riga di metadati inviata dal server in aggiunta al contenuto della pagina. Gli security header sono una famiglia specifica di header che pilotano il comportamento del browser per bloccare o limitare gli attacchi lato client.

Quando il tuo browser carica https://captaindns.com, il server restituisce prima i suoi header HTTP prima dell'HTML. Questi header indicano ad esempio: 'Forza HTTPS per un anno' (HSTS), 'Esegui solo gli script dello stesso dominio' (CSP), o 'Rifiuta di essere visualizzato in un iframe' (X-Frame-Options).

Esempio di header HTTP restituiti da un sito sicuro:

HTTP/2 200
strict-transport-security: max-age=31536000; includeSubDomains; preload
content-security-policy: default-src 'self'; script-src 'self'
x-content-type-options: nosniff
x-frame-options: DENY
referrer-policy: strict-origin-when-cross-origin
permissions-policy: geolocation=(), microphone=()

Senza questi security header, il browser applica comportamenti predefiniti molto più permissivi, ereditati dagli inizi del web.

I 10 header analizzati e il loro ruolo

Lo strumento valuta 10 header HTTP, ognuno con un peso che riflette il suo impatto sulla postura di sicurezza.

Header HTTPPesoRuoloValore di esempio
Strict-Transport-Security2.0Forza HTTPS e impedisce sslstripmax-age=31536000; includeSubDomains; preload
Content-Security-Policy2.0Blocca XSS e iniezione di scriptdefault-src 'self'; script-src 'self'
Content-Security-Policy-Report-Only0.5CSP in modalità osservazione, senza bloccodefault-src 'self'; report-uri /csp-report
X-Frame-Options1.0Impedisce il clickjacking via iframeDENY o SAMEORIGIN
X-Content-Type-Options1.0Blocca il MIME sniffingnosniff
Referrer-Policy1.0Limita la fuga di URL via Refererstrict-origin-when-cross-origin
Permissions-Policy1.0Restringe le API browser (camera, microfono, geolocalizzazione)geolocation=(), microphone=()
Cross-Origin-Opener-Policy1.0Isola il contesto di navigazionesame-origin
Cross-Origin-Embedder-Policy1.0Controlla le risorse cross-origin caricaterequire-corp
Cross-Origin-Resource-Policy1.0Definisce chi può caricare le tue risorsesame-origin o same-site

Totale massimo: 11,5 punti. Il punteggio viene poi riportato a 100 per produrre il voto finale.

Come viene calcolato il tuo voto da A a F?

Il calcolo applica una logica semplice e riproducibile.

Passo 1: punteggio grezzo Ogni header presente e correttamente configurato porta il suo peso completo. Un header presente ma mal configurato (es. HSTS con max-age troppo corto) porta un peso ridotto. Il totale grezzo massimo è di 11,5 punti.

Passo 2: conversione su 100 Il punteggio grezzo viene riportato a 100 con la regola del tre: score = (grezzo / 11,5) × 100.

Passo 3: assegnazione del voto

VotoPunteggio su 100Interpretazione
A>= 90Postura eccellente, conforme alle migliori pratiche 2026
B>= 75Buona configurazione, alcuni header da completare
C>= 60Configurazione parziale, header critici mancanti
D>= 40Postura debole, vari security header assenti
F< 40Nessuna protezione significativa, azione urgente raccomandata

Da ricordare: HSTS e CSP pesano insieme 4 punti su 11,5, ovvero più di un terzo del punteggio. La loro assenza fa cadere meccanicamente il voto di almeno due gradini.

Casi d'uso concreti

Incidente 1: sito con voto F dopo restyling

Sintomo: dopo la migrazione verso un nuovo framework, il sito ottiene F mentre aveva B prima del restyling.

Diagnosi: l'analizzatore rivela l'assenza di CSP, HSTS e X-Frame-Options. Gli header erano aggiunti dal vecchio server Nginx, rimossi durante il passaggio a un hosting gestito che non li include per impostazione predefinita.

Azione: aggiungere i security header nella configurazione del nuovo framework (next.config.js, middleware Express, ecc.) poi riavviare l'analisi per confermare il ritorno al voto B o A.

Incidente 2: audit di conformità bloccato

Sintomo: il revisore segnala l'assenza di security header come finding maggiore, bloccando la certificazione PCI DSS.

Diagnosi: il test di sicurezza sito web conferma HSTS assente, CSP assente, Referrer-Policy non definita. Il server Apache serve la conf predefinita senza aggiunte.

Azione: configurare le direttive Header set nel vhost Apache, deployare in staging, avviare l'analizzatore per verificare il voto, poi pubblicare in produzione. Rifare il test per fornire il rapporto conforme al revisore.

Incidente 3: clickjacking rilevato in bug bounty

Sintomo: un ricercatore di sicurezza segnala via bug bounty che può incorniciare il dashboard cliente in un iframe malevolo.

Diagnosi: l'analizzatore mostra X-Frame-Options assente e CSP senza direttiva frame-ancestors. Il browser autorizza quindi l'embedding per impostazione predefinita.

Azione: aggiungere X-Frame-Options: DENY e frame-ancestors 'none' nella CSP. Riavviare l'analisi per confermare la chiusura della falla e chiudere il ticket bug bounty.

FAQ - Domande frequenti

D: Cos'è un analizzatore di header HTTP?

R: Un analizzatore di header HTTP è uno strumento che ispeziona gli header restituiti da un server web durante una richiesta. Verifica la presenza e la configurazione dei security header come CSP, HSTS o X-Frame-Options. Il nostro analizzatore recupera questi header HTTP, valuta la loro conformità alle best practice OWASP e assegna un voto da A a F. È la base di un test di sicurezza sito web completo e rapido.

D: Quali security header sono indispensabili nel 2026?

R: Gli header critici nel 2026 sono Content-Security-Policy (CSP) per bloccare gli script non autorizzati, Strict-Transport-Security (HSTS) per forzare HTTPS, X-Content-Type-Options per impedire il MIME sniffing, X-Frame-Options o frame-ancestors CSP contro il clickjacking, e Referrer-Policy per limitare la fuga di URL. Permissions-Policy e Cross-Origin-Opener-Policy completano una postura moderna. Senza questi header HTTP, il tuo sito resta esposto ad attacchi noti.

D: Qual è la differenza tra CSP e HSTS?

R: CSP (Content-Security-Policy) controlla le sorgenti autorizzate per caricare script, stili, immagini o iframe. Protegge da XSS e iniezione di contenuto. HSTS (Strict-Transport-Security) forza il browser ad accedere al sito solo via HTTPS, impedendo gli attacchi di downgrade. CSP agisce a livello del contenuto della pagina, HSTS a livello del trasporto. Entrambi gli header HTTP sono complementari e indispensabili per un voto di sicurezza elevato.

D: Come aggiungo security header al mio sito?

R: Dipende dal tuo stack:

  • Nginx: direttive add_header nel blocco server
  • Apache: Header set in .htaccess o nella conf vhost
  • Cloudflare: Transform Rules o Workers
  • Next.js: headers() in next.config.js
  • Express: middleware helmet
  • Laravel: middleware dedicato

Dopo il deploy, riavvia l'analisi per confermare che gli header HTTP siano restituiti correttamente.

D: I security header mancanti sono una vulnerabilità?

R: Gli header assenti non sono una vulnerabilità diretta, ma rimuovono livelli di difesa. Senza CSP, una falla XSS diventa pienamente sfruttabile. Senza HSTS, l'utente resta vulnerabile a sslstrip su rete ostile. Senza X-Frame-Options, il tuo sito può essere incorniciato per clickjacking. I revisori PCI DSS, ISO 27001 e SOC 2 considerano questi header HTTP come controlli di sicurezza attesi.

D: Questo strumento di test di sicurezza sito web è gratuito?

R: Sì, il nostro analizzatore di header HTTP è interamente gratuito, senza registrazione né limiti di utilizzo. Avvia tutti i test di sicurezza sito web di cui hai bisogno, su qualsiasi URL pubblico. I risultati includono il voto da A a F, il dettaglio di ogni header analizzato e i consigli di configurazione. Nessun dato viene conservato oltre il tempo necessario al calcolo del punteggio.

Strumenti complementari

StrumentoUtilità
Audit on-page completoAnalizzare l'HTML, i tag SEO e le risorse di una pagina
Test HSTSVerificare l'intestazione Strict-Transport-Security e l'idoneità alla preload list
Analisi dei reindirizzamentiSeguire la catena di reindirizzamenti HTTP e rilevare i loop
Rilevamento phishingVerificare se un URL è segnalato come phishing
Validazione DNSSECConfermare la firma crittografica della tua zona DNS
Conformità MTA-STSVerificare la policy MTA-STS pubblicata per il tuo dominio
Monitoraggio uptimeSorvegliare la disponibilità dei tuoi endpoint HTTP in multi-regione

Risorse utili