Contact
TOOL

HTTP headers viewer

Bekijk alle response headers van een URL — inclusief security-headers zoals HSTS, Content-Security-Policy, X-Frame-Options. Direct overzicht of een site moderne security-practices heeft geconfigureerd, of welke server-info onbedoeld lekt.

← Alle tools
Tool doet een HEAD-request en toont alle response-headers. Volgt geen redirects.

Wanneer gebruik je deze HTTP-headers viewer?

HTTP-response headers zijn het paspoort van je webserver: ze vertellen browsers hoe ze met de pagina moeten omgaan. Voor mij is dit de tool die ik open zodra een site zich "vreemd gedraagt" — redirects in een loop, niet-geupdatete content, security-warnings in browsers. Concrete situaties:

  • Redirect-tracingBij een redirect-loop of vreemde 302/301-keten: zie precies welke status-codes en Location-headers de server terugstuurt.
  • Security-auditSnel zien welke security-headers (HSTS, CSP, X-Frame-Options) de site mist en welke al aanwezig zijn.
  • Cache-debuggingBezoekers zien oude content terwijl je net hebt geupdatet? Check de Cache-Control en Expires headers om te zien wat er gecached wordt.
  • Server-fingerprint checkLekt je server zijn versie via de Server- of X-Powered-By header? Dat is gratis info voor aanvallers — tijd om te verbergen.
  • Verifiëren van WAF/CDNAchter Cloudflare/Sucuri actief? Headers tonen de CF-RAY, X-Sucuri-ID of vergelijkbare tags — bewijs dat de proxy live is.

De belangrijkste security-headers

  • Strict-Transport-Security (HSTS) Forceert HTTPS voor toekomstige bezoeken. Voorkomt dat aanvallers HTTPS kunnen downgraden tot HTTP via een man-in-the-middle.
  • Content-Security-Policy (CSP) Beperkt welke resources de pagina mag laden — sterkste bescherming tegen XSS-aanvallen, ook de moeilijkste om correct te configureren.
  • X-Frame-Options Voorkomt dat je site in een iframe op andere sites kan worden geladen — clickjacking-bescherming.
  • X-Content-Type-Options: nosniff Voorkomt dat browsers MIME-types proberen te raden, sluit een specifieke aanvalscategorie.
  • Referrer-Policy Bepaalt welke referrer-info naar andere sites wordt verstuurd. Privacy-relevant.
  • Permissions-Policy Beperkt toegang tot browser-features (camera, microfoon, geolocation).

Server-info headers (en waarom je die wilt verbergen)

Headers als Server en X-Powered-By verraden welke webserver en PHP-versie je draait. Dat is gratis reconnaissance voor aanvallers: zien ze PHP/8.0.5, dan weten ze welke CVE's mogelijk werken. Dit hoor je in productie te onderdrukken — zie de FAQ hieronder voor de configs.

Wat ik vaak tegenkom

Redirect-loop met www en HTTPS. Klant had een 301 van non-www → www, en daarbinnen een 302 van HTTP → HTTPS, en daarbinnen weer een 301 terug. Browser ging er rondjes mee. Headers-output toonde de keten meteen.

Geen enkele security-header. Dit is wat ik bij 70% van NL MKB-sites zie. Apache/Nginx sturen standaard niets — je moet ze expliciet toevoegen. Quick-win voor elke audit.

Cache-Control die HTML 1 jaar cachet. Klant had per ongeluk de "access plus 1 year" .htaccess-regel ook op text/html toegepast. Bezoekers zagen dagen oude content totdat ze ctrl+shift+R deden.

Veelgestelde vragen

Waarom toont mijn site geen security-headers?

Standaard sturen webservers (Apache, Nginx) geen security-headers mee. Je moet ze expliciet toevoegen in .htaccess (Apache) of in je server-block (Nginx).

De Security Headers Analyzer geeft per ontbrekende header een copy-paste klare config voor jouw server-type.

Wat betekent een 301 vs 302 redirect in de headers?

301 = permanent verplaatst (browsers en zoekmachines onthouden dit). 302 = tijdelijk (geen URL-update in cache).

Voor SEO en migraties wil je bijna altijd 301. Een 302 voor een permanente redirect kost je SEO-juice — Google blijft de oude URL ranken.

Mijn server-header verraadt mijn PHP-versie — hoe verberg ik dat?

Drie configs:

  • X-Powered-By weghalen: in php.iniexpose_php = Off
  • Apache Server-header inkorten: in apache2.confServerTokens Prod
  • Nginx Server-header inkorten: in http-blok → server_tokens off

Beperkt info-lekkage richting aanvallers en geautomatiseerde scanners.

Wat is het verschil met de Security Headers Analyzer tool?

De HTTP-headers viewer (deze) toont álle response-headers (cache, server, redirects, security). Geeft je het complete plaatje van wat de server terugstuurt.

De Security Headers Analyzer richt zich specifiek op security-headers en geeft een grade A+ tot F met concrete fix-instructies per ontbrekende header.

Volgt de tool redirects automatisch?

Nee. Je ziet de eerste response. Bij een 3xx-status zie je de Location-header zodat je weet waar je naartoe wordt gestuurd. Wil je een redirect-chain volgen, voer dan stap voor stap de Location-URL's in.

Gerelateerd

TOOLSecurity Headers Analyzer TOOLSSL / TLS checker SNIPPETS.htaccess voorbeelden SNIPPETSNginx config voorbeelden