Bỏ qua tới nội dung chính

Cloudflare Checker — Kiểm tra Bảo vệ Edge & Security Headers

Phát hiện Cloudflare, kiểm tra cache status và 6 security header bảo mật chỉ trong vài giây

Website bạn có được bảo vệ đúng cách chưa?

Cloudflare là CDN và edge security network phổ biến nhất thế giới — chặn DDoS, bot độc hại, invalid click và mã hóa toàn bộ kết nối trước khi traffic chạm origin server. Nhưng chỉ dùng Cloudflare chưa đủ: nếu thiếu security headers quan trọng như HSTS, CSP hay X-Frame-Options, website vẫn dễ bị tấn công XSS và clickjacking. Công cụ này kiểm tra cả hai trong một lần quét.

Website không qua Cloudflare đang tiếp nhận 100% traffic thô từ internet — bao gồm DDoS layer 3/4, brute-force, bot scraper và invalid click từ các mạng quảng cáo. Cloudflare chặn trung bình 70–80 tỷ mối đe dọa mỗi ngày ở tầng edge, giảm tải đáng kể cho origin server và cải thiện tốc độ phục vụ toàn cầu. Nhưng Cloudflare ở tầng edge không kiểm soát được HTTP security headers — đây là trách nhiệm của web server hoặc ứng dụng. Thiếu HSTS có thể bị tấn công SSL stripping. Thiếu CSP là lỗ hổng XSS. Thiếu X-Frame-Options là nguy cơ clickjacking trên quảng cáo. ClickSentinel kết hợp với Cloudflare để bảo vệ 2 lớp: edge chặn threat thô, ClickSentinel phân tích chất lượng traffic lọt qua edge.

  • Phát hiện Cloudflare qua CF-Ray header và "Server: cloudflare" — ngay lập tức
  • Đánh giá mức độ bảo vệ: High / Medium / None + cache status thực tế
  • Kiểm tra đầy đủ 6 security header: HSTS, X-Frame-Options, CSP, X-Content-Type, Referrer-Policy, Permissions-Policy
Dùng miễn phí
Quảng cáo

Cách dùng trong 3 bước

  1. 1Nhập URL bất kỳ trên domain bạn muốn kiểm tra (trang chủ hoặc landing page).
  2. 2Bấm "Kiểm tra ngay" — công cụ gửi HTTP request và phân tích response headers.
  3. 3Xem ngay: trạng thái Cloudflare, mức bảo vệ, cache + danh sách security header đã có / còn thiếu.

Câu hỏi thường gặp

Làm sao biết chắc website đang qua Cloudflare?
Dấu hiệu chắc chắn nhất là response header "CF-Ray" (mã định danh request của Cloudflare) và "Server: cloudflare". Một số site dùng Cloudflare ở chế độ "grey cloud" (DNS-only) sẽ không xuất hiện các header này — chỉ orange cloud mới kích hoạt proxy và bảo vệ đầy đủ.
Security headers nào bị thiếu nhiều nhất?
Theo phân tích từ hàng nghìn website: Content-Security-Policy (CSP) bị thiếu ở 67% site, Permissions-Policy ở 72%, và Referrer-Policy ở 58%. Ba header này không cần thay đổi code phức tạp — chỉ cần thêm vào cấu hình Nginx/Apache hoặc Cloudflare Transform Rules.
Cloudflare Free Plan có đủ bảo vệ chống click ảo không?
Cloudflare Free cung cấp DDoS protection layer 3/4, SSL và WAF cơ bản — đủ cho phần lớn site vừa và nhỏ. Tuy nhiên Bot Management chi tiết (phát hiện click farm, headless browser, invalid click từ quảng cáo) cần plan Pro trở lên, hoặc kết hợp ClickSentinel để phân tích ở tầng application.
ClickSentinel bổ sung gì cho Cloudflare?
Cloudflare chặn threat ở tầng network/edge trước khi request vào server. ClickSentinel hoạt động ở tầng application — phân tích từng click sau khi đã qua Cloudflare: fingerprint thiết bị, IP reputation cross-site, VPN/Tor/datacenter, click velocity trong 5 phút. Kết hợp: Cloudflare chặn ~80% mối đe dọa thô, ClickSentinel phát hiện 20% còn lại tinh vi hơn.