Contact
TOOL

Security Headers Analyzer

Voer een URL in, krijg een grade A+ tot F op basis van de aanwezigheid en kwaliteit van security-headers. Per ontbrekende of zwakke header een concrete fix met code-voorbeeld. Werkt voor elke site achter HTTPS.

← Alle tools
HTTPS-URL — tool doet een HEAD-request en analyseert de aanwezige security-headers.

Wat zegt jouw grade?

A+
95-100% Alle kritieke + aanbevolen headers aanwezig, geen versie-info-leak. Vergelijkbaar met grote tech-bedrijven.
A
85-94% Alle kritieke headers aanwezig, paar finetuning-puntjes. Sterk genoeg voor elke commerciële NL-site.
B
75-84% Basis-bescherming klopt, een paar aanbevolen headers ontbreken. Realistisch doel voor MKB-sites na een hardening-rondje.
C
65-74% Iets gedaan, maar gaten. Vaak HSTS aanwezig, CSP afwezig. Veel ruimte voor verbetering met simpele .htaccess-regels.
D
50-64% Meerdere kritieke headers ontbreken. Bezoekers zijn beschermd door browser-defaults, niet door jouw configuratie.
E
35-49% Minimale bescherming. Vrijwel zeker shared-hosting zonder eigen security-config.
F
< 35% Geen of nauwelijks security-headers. Niet noodzakelijk onveilig — wel een hoop laaghangend fruit dat je laat liggen.

De 10 checks — gegroepeerd op belang

KRITIEK 70 van 100 punten
  • Strict-Transport-Security 25 pt Forceert HTTPS voor toekomstige bezoeken — voorkomt downgrade-aanvallen.
  • Content-Security-Policy 25 pt Beperkt welke resources de pagina mag laden — sterkste verdediging tegen XSS.
  • X-Frame-Options 10 pt Voorkomt dat je site in een iframe op andere domeinen wordt geladen (clickjacking).
  • X-Content-Type-Options 10 pt Schakelt MIME-sniffing uit. Sluit een specifieke aanvalscategorie.
AANBEVOLEN 28 van 100 punten
  • Referrer-Policy 10 pt Bepaalt welke referrer-info naar andere domeinen lekt. Privacy-relevant.
  • Permissions-Policy 10 pt Beperkt browser-features (camera, microfoon, geolocation) per pagina.
  • Cross-Origin-Opener-Policy 5 pt Isoleert je site van cross-origin pop-ups. Spectre-bescherming.
  • Cross-Origin-Resource-Policy 3 pt Voorkomt dat je resources cross-origin gestolen kunnen worden.
INFO-LEAKS 2 van 100 punten
  • Server header 1 pt Server-versie zou verborgen moeten zijn. Aanvallers gebruiken versie-info voor gerichte exploits.
  • X-Powered-By 1 pt PHP-versie zichtbaar = recon-info weggegeven. Hoort niet in productie.

Wat ik in NL-audits zie

  • 9 op 10 NL MKB-sites scoort onder een C. Standaard is op shared hosting niets ingesteld — gemiddeld zie ik D+ tot D−.
  • HSTS ontbreekt in 60% van de gevallen. Eén regel in .htaccess of de Nginx-config en je hebt het. Geen reden om het niet te doen.
  • CSP is in 80% afwezig. Niet vreemd: een te strikte policy breekt makkelijk Google Tag Manager, Cloudflare-scripts of plugins. Begin met Content-Security-Policy-Report-Only om in logs te zien wat zou breken — daarna pas live.
  • Een F is geen ramp. Het betekent niet dat je site onveilig is — wel dat je een hoop laaghangend fruit laat liggen. De meeste F-sites kunnen binnen 30 minuten naar een B met alleen .htaccess-aanpassingen, geen plugin-installs nodig.
  • A+ is voor de meeste MKB-sites overkill. Mik op een A. De stap van A naar A+ vereist preload-submission op hstspreload.org en een strikte CSP — vaak meer werk dan opbrengst voor een gemiddelde brochuresite.