cekipsaya.com. Ketik domainmu sendiri di atas untuk cek header situsmu.Masukkan domain lalu tekan Cek. Kamu dapat grade A+ hingga F + status keenam header keamanan inti (mana yang terpasang, mana yang belum) beserta penjelasannya.
🔒 Tool membaca response header publik situs dari server kami. Grade = estimasi edukatif gaya securityheaders.com — untuk audit resmi, silakan cek juga langsung di securityheaders.com.
Apa Itu Security Headers?
Security headers adalah instruksi keamanan yang dikirim server lewat HTTP response header — pesan tak terlihat yang menyertai setiap halaman. Isinya memerintahkan browser cara melindungi pengunjung: dari sumber script mana halaman boleh memuat kode, apakah wajib pakai HTTPS, sampai apakah situs boleh di-embed situs lain. Header yang tepat = lapisan pertahanan gratis yang berjalan otomatis di browser setiap pengunjung.
6 Header Keamanan Inti yang Dicek
Tool ini menilai enam header yang jadi standar de-facto (dipakai securityheaders.com):
- Content-Security-Policy (CSP) — pertahanan utama lawan XSS: memagari sumber script & style yang boleh dijalankan. Paling ampuh, sekaligus paling menantang di-set.
- Strict-Transport-Security (HSTS) — memaksa browser selalu memakai HTTPS, mencegah penyadapan lewat koneksi tak terenkripsi.
- X-Content-Type-Options: nosniff — mencegah browser menebak tipe file yang bisa dieksploitasi.
- X-Frame-Options — mencegah situs di-embed di iframe orang lain (proteksi clickjacking).
- Referrer-Policy — mengontrol berapa banyak info alamat halaman yang bocor saat pengunjung mengeklik keluar.
- Permissions-Policy — membatasi fitur browser (kamera, mikrofon, lokasi) yang boleh dipakai halaman.
Kenapa Security Headers Penting?
Tanpa header ini, browser memakai perilaku default yang lebih longgar — dan celah kecil di kodemu bisa dimanfaatkan penyerang untuk menyisipkan skrip jahat (XSS), membajak sesi lewat iframe (clickjacking), atau menurunkan koneksi ke HTTP tak aman. Header keamanan menutup pintu-pintu itu di level browser, tanpa mengubah satu baris pun logika aplikasimu. Untuk situs yang menangani data pengunjung — form, login, pembayaran — ini bukan opsional.
Cara Mendapat Grade A+
Enam header ini di-set di konfigurasi server: .htaccess (Apache), blok server (Nginx), atau lewat Cloudflare. Yang termudah lebih dulu (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) — tinggal tempel. Yang tersulit adalah Content-Security-Policy, karena harus disesuaikan dengan sumber script situsmu tanpa merusak fungsi. Kami sendiri melewati perjalanan ini untuk mencapai A+ — termasuk menemukan cara menangani CSP tanpa harus menulis ulang seluruh kode. Baca kisah lengkap & langkah praktisnya di panduan cara mendapat security headers A+.