无需登录 数据私有 本地保存

安全响应头检测 - HSTS/CSP/X-Frame等

12
0
0
0

安全响应头检测

检测网站的 HSTS、CSP、X-Frame-Options 等安全响应头配置,评估网站安全防护等级

通过CORS代理检测目标网站响应头,部分网站可能检测受限

安全评分

-- --
--
检测概要
安全配置
0
需优化
0
缺失
0
检测目标:

常见问题与知识点

什么是 HSTS(HTTP Strict Transport Security)?
HSTS 是一种安全策略机制,由服务器通过响应头 Strict-Transport-Security 告知浏览器:在指定时间内(max-age),对该域名的所有请求必须使用 HTTPS,不允许通过 HTTP 访问。这能有效防止 SSL 剥离攻击和中间人攻击。推荐配置:max-age=31536000; includeSubDomains; preload(至少1年有效期)。
什么是 CSP(Content-Security-Policy)?
CSP 是一道强大的安全防线,允许网站管理员控制浏览器可以加载哪些资源(脚本、样式、图片、字体等)。它可以有效防御 XSS 攻击、数据注入攻击等。例如 default-src 'self'; script-src 'self' cdn.example.com 表示只允许加载同源脚本和指定CDN的脚本。应避免使用 'unsafe-inline''unsafe-eval'
X-Frame-Options 头的作用是什么?
X-Frame-Options 用于防止点击劫持(Clickjacking)攻击,控制网站是否可以被嵌入到 iframe 中。常用值:DENY(完全禁止)、SAMEORIGIN(仅允许同源嵌入)。现代网站也可使用 CSP 的 frame-ancestors 指令替代。
X-Content-Type-Options 为什么重要?
该响应头用于防止浏览器进行 MIME 类型嗅探(MIME Sniffing)。设置为 nosniff 后,浏览器会严格按照服务器声明的 Content-Type 处理资源,阻止将不可执行的文本文件当作脚本执行,防止某些类型的攻击。几乎所有现代网站都应设置此头。
如何在 Nginx / Apache 中配置安全响应头?
Nginx:在 server 或 location 块中添加:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
Apache:在 .htaccess 或虚拟主机配置中:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Referrer-Policy 和 Permissions-Policy 是什么?
Referrer-Policy 控制请求中 Referer 头的信息量,保护用户隐私。推荐使用 strict-origin-when-cross-originno-referrer-when-downgrade
Permissions-Policy(原 Feature-Policy)用于控制浏览器功能的访问权限,如摄像头、麦克风、定位等。例如 camera=(), geolocation=(self) 可限制敏感API的使用范围。
安全评分是如何计算的?
评分基于多项安全响应头的配置情况综合计算:HSTS(20分)、CSP(20分)、X-Frame-Options(15分)、X-Content-Type-Options(15分)、Referrer-Policy(10分)、Permissions-Policy(10分)、其他安全头(10分)。根据总分划分等级:A+(90-100)、A(80-89)、B(70-79)、C(60-69)、D(50-59)、F(0-49)。
🔧 相关工具