Что такое HTTP-заголовки ответа
Каждый ответ сервера сопровождается набором служебных заголовков, невидимых в браузере напрямую: тип контента (Content-Type), политика кеширования (Cache-Control), сведения о сервере (Server, X-Powered-By) и заголовки безопасности. Эти данные влияют на то, как страницу обрабатывают браузеры, краулеры и CDN — независимо от видимого HTML-контента.
Security-заголовки и их значение
Strict-Transport-Security (HSTS) заставляет браузер всегда обращаться к сайту по HTTPS, даже если пользователь ввёл http://. X-Frame-Options и директива frame-ancestors в Content-Security-Policy защищают от clickjacking — встраивания сайта в чужой iframe. X-Content-Type-Options: nosniff запрещает браузеру угадывать тип контента, что закрывает ряд MIME-based атак. Отсутствие этих заголовков — не критическая SEO-ошибка, но заметный технический недочёт, который проверяют аудиторы безопасности.
Cache-Control и производительность
Заголовок Cache-Control определяет, может ли браузер или CDN сохранить копию страницы и на какой срок. Некорректная настройка — частая причина, когда пользователи видят устаревшую версию страницы после обновления, либо наоборот, статические ресурсы (CSS, JS, изображения) без кеширования лишний раз замедляют повторные визиты.
Что выдают заголовки Server и X-Powered-By
Эти заголовки раскрывают технологический стек сайта (версию веб-сервера, PHP и т.д.) — потенциально полезную информацию для злоумышленника при подборе известных уязвимостей конкретной версии. Многие практики технического аудита рекомендуют скрывать или обезличивать эти заголовки на продакшене.