Back

HTTP Başlık Analizörü

HTTP başlıkları, istekler ve yanıtlar hakkında meta veriler taşır. Bu araç, istek/durum satırı, başlıklar ve gövde içeriği dahil olmak üzere eksiksiz HTTP mesajlarını ayrıştırır. Güvenlik başlıklarını (HSTS, CSP), kimlik doğrulamayı (Basic, Bearer), çerezleri, CORS yapılandırmasını ve önbelleğe alma yönergelerini analiz eder. Gövde içeriği, Content-Type'a göre (JSON, HTML, XML) otomatik olarak biçimlendirilir ve sözdizimi vurgulanır.

Spesifikasyonlar

Yaygin Kullanim Alanlari

  • Tarayıcı DevTools Ağ sekmesinden kopyalanan API isteklerini hata ayıklama
  • curl -i veya curl -v çıktısını başlıklar ve gövde ile analiz etme
  • Uyumluluk için güvenlik başlıklarını denetleme (OWASP önerileri)
  • CORS ön kontrol ve çapraz kaynak sorunlarını giderme
  • Kimlik doğrulama başlıklarını ve çerez yapılandırmasını inceleme
  • CDN ve tarayıcı önbelleğe alma için önbellek davranışını doğrulama

Ozellikler

  • Tam HTTP isteklerini ayrıştırma (GET /path HTTP/1.1)
  • Durum kodları ve neden ifadeleri ile HTTP yanıtlarını ayrıştırma
  • Gövde içeriğini biçimlendirme ve sözdizimi vurgulama (JSON, HTML, XML, CSS)
  • Authorization başlıklarını çözme (Basic auth kimlik bilgileri, Bearer token'lar)
  • Güvenlik başlıklarını analiz etme (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
  • Set-Cookie özelliklerini ayrıştırma (Secure, HttpOnly, SameSite, süre sonu)
  • Başlıklardan çerez çıkarma ve listeleme
  • CORS başlıklarını görüntüleme (Access-Control-Allow-Origin vb.)
  • Cache-Control yönergelerini açıklama (max-age, no-cache, private)

Ornekler

JSON Gövdeli API Yanıtı

Deneyin →

Başlıklar ve JSON gövdesi ile eksiksiz bir HTTP yanıtı, curl -i çıktısından kopyalanmış haliyle.

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Cache-Control: max-age=3600, public
X-Frame-Options: DENY
Strict-Transport-Security: max-age=31536000; includeSubDomains

{
  "status": "success",
  "data": {
    "id": 12345,
    "name": "Example User"
  }
}

Kimlik Doğrulamalı HTTP İsteği

Deneyin →

Bearer token kimlik doğrulaması ve çerezler içeren bir istek.

GET /api/users HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Accept: application/json
Cookie: session=abc123; theme=dark

Ipuclari

  • Yanıt başlıklarını çıktıya dahil etmek için "curl -i URL" kullanın.
  • Tarayıcı DevTools'ta bir isteğe sağ tıklayıp "cURL olarak kopyala" seçeneği ile tam isteği alabilirsiniz.
  • HSTS (Strict-Transport-Security) tarayıcılara alan adı için yalnızca HTTPS kullanmalarını söyler.
  • CSP (Content-Security-Policy) sayfanın hangi kaynakları yükleyebileceğini kontrol eder.
  • SameSite çerez özelliği CSRF saldırılarını önlemeye yardımcı olur.

Anlama HTTP Başlık Analizörü

HTTP başlıkları, her HTTP isteği ve yanıtının bir parçası olarak istemci ve sunucu arasında gönderilen anahtar-değer çiftleridir. Mesaj hakkında meta veriler taşır: içerik türü, önbelleğe alma yönergeleri, kimlik doğrulama bilgileri ve güvenlik politikaları. Başlıklar, istek veya durum satırından sonra ve isteğe bağlı gövdeden önce görünür; gövdeden boş bir satırla ayrılır.

İstek başlıkları, istemci ve istenen yanıt hakkında bağlam sağlar. Host hedef sunucuyu tanımlar. Accept ve Content-Type medya formatını müzakere eder. Authorization kimlik bilgilerini taşır (Basic, Bearer, API anahtarları). Cookie depolanmış oturum verilerini gönderir. User-Agent istemci yazılımını tanımlar.

Yanıt başlıkları, istemcinin içeriği nasıl işleyeceğini kontrol eder. Cache-Control ve ETag önbelleğe alma davranışını yönetir. Set-Cookie istemci tarafı durumunu oluşturur. Content-Security-Policy, XSS'yi azaltmak için kaynak yüklemeyi kısıtlar. Strict-Transport-Security HTTPS'yi zorunlu kılar. CORS başlıkları (Access-Control-Allow-Origin ve ilişkililer) web API'lerinin en yaygın yanlış yapılandırılan yönlerinden biri olan çapraz kaynak kaynak paylaşımını kontrol eder.

Başlıkları anlamak, web uygulamalarını hata ayıklamak için gereklidir. Bir API beklenmeyen sonuçlar döndürdüğünde, başlıklar genellikle nedeni ortaya çıkarır: eksik Content-Type, süresi dolmuş kimlik doğrulama token'ı, eski veri sunan önbelleğe alma yönergesi veya isteği engelleyen bir CORS politikası.

Cache-Control yönergesi en yanlış anlaşılan başlıklardan biridir. no-cache yönergesi "önbelleğe alma" anlamına gelmez — önbelleğin depolanmış bir yanıtı kullanmadan önce kaynak sunucu ile yeniden doğrulama yapması gerektiği anlamına gelir. Yanıt yine de önbelleğe alınabilir. no-store yönergesi gerçekten önbelleğe almayı tamamen engelleyen yönergedir ve hassas veriler için kullanılmalıdır. Koşullu isteklerden yararlanan sık değişen içerik için, ETag veya Last-Modified ile birlikte no-cache uygun stratejidir.

CORS hataları, farklı bir kaynağa yapılan tarayıcı isteğinde Access-Control-Allow-Origin yanıt başlığı eksik olduğunda meydana gelir. Sunucu, bu başlığı talep eden kaynak veya genel API'ler için * ile birlikte içermelidir. Kimlik bilgileri (çerezler veya Authorization başlıkları) söz konusu olduğunda joker karaktere izin verilmez — başlık tam kaynağı belirtmelidir. Ön kontrol OPTIONS istekleri ayrıca Access-Control-Allow-Methods ve Access-Control-Allow-Headers gerektirir. Bearer token kimlik doğrulaması Authorization: Bearer <token> formatını kullanır; token genellikle bir OAuth 2.0 akışından bir JWT veya opak erişim token'ıdır. Çerezlerin aksine, Bearer token'ları otomatik olarak gönderilmez — istemci her isteğe başlığı açıkça eklemelidir.

Her web sitesi minimum güvenlik başlıkları setini ayarlamalıdır. Strict-Transport-Security (HSTS) her zaman HTTPS kullanılmasını sağlar. Content-Security-Policy, kaynak yüklemeyi kısıtlayarak XSS'yi azaltır. X-Content-Type-Options: nosniff, MIME tür koklama'yı önler. X-Frame-Options tıklama hırsızlığına karşı korur ve Referrer-Policy, Referer başlığında hangi bilgilerin gönderileceğini kontrol eder. API'ler ayrıca hangi kaynakların istek yapabileceğini kontrol etmek için uygun CORS başlıklarını yapılandırmalıdır.

← Tum araclara don