安全头部报告卡 - 检测并评分 HTTP 安全响应头
扫描 URL,对 CSP、HSTS、X-Frame-Options 等安全头的设置进行 A+ 到 F 的等级评定。
UD5工具箱
全面检测网站HTTP安全响应头配置,获取综合评分与详细改进报告
| 安全响应头 | 状态 | 当前值 | 得分 |
|---|
default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' https:;。避免使用'unsafe-inline'和'unsafe-eval',它们会削弱CSP的保护效果。
max-age=31536000; includeSubDomains; preload。其中max-age至少应设置为1年(31536000秒),includeSubDomains确保所有子域名也受保护,preload允许网站被提交到浏览器的HSTS预加载列表,在首次访问前就已获得保护。
frame-ancestors指令功能更强大,支持白名单多个来源。现代最佳实践建议同时配置两者以获得最大的浏览器兼容性,但优先使用CSP的frame-ancestors 'none'或frame-ancestors 'self'。如果两者都配置了,CSP的指令优先级更高。
no-referrer完全不发送(最严格),strict-origin-when-cross-origin(推荐默认值)在同源时发送完整URL,跨域时仅发送源信息且在HTTPS→HTTP降级时不发送,unsafe-url始终发送完整URL(不推荐,可能泄露敏感路径信息)。对于大多数网站,strict-origin-when-cross-origin在隐私和可用性之间取得了良好平衡。
curl -sI https://your-domain.com 直接获取响应头。
camera=(), microphone=(), geolocation=()(如果网站不需要这些功能),payment=()(如无支付需求),usb=(), bluetooth=()(限制硬件访问)。合理配置可以减少恶意脚本利用浏览器API进行攻击的风险。格式示例:Permissions-Policy: camera=(), microphone=(), geolocation=(self), payment=()。
X-XSS-Protection: 0明确禁用旧版过滤,将防御重心放在正确配置的CSP上。
扫描 URL,对 CSP、HSTS、X-Frame-Options 等安全头的设置进行 A+ 到 F 的等级评定。
发起请求获取当前URL或任意允许CORS的URL的Response Headers,展示详情。
输入 URL,列出所有第三方域名的脚本,估算其对加载时间的影响。
向任意输入URL发送请求,清晰显示响应状态码、头信息和体,类似轻量级Postman。
粘贴Link rel=preload头字段,解析展示服务器计划推送的资源列表。
向指定 URL 发送不同 HTTP 方法的请求,显示响应状态码、头部和主体,学习 RESTful API。
在线响应式布局测试器,同时预览常见设备分辨率的网页显示效果,帮助检查前端适配。
覆盖加载、渲染、安全、可访问性等领域的自查清单,勾选后生成得分与建议。
生成带有动画的点赞/点踩或表情反馈组件,包含选中状态和计数。
创建一个测试自定义元素,记录并展示 connectedCallback, attributeChangedCallback 等执行顺序。
结构化绩效复评表,填写目标完成与行为表现,汇总评语及等级。
选择算法并随机生成数组,以彩色条动画展示排序过程,帮助理解算法。
通过按下键位记录code和key值,推断当前键盘布局(如QWERTY、AZERTY)。
定义字段名称和类型(姓名、邮箱、数字范围等),批量生成符合规则的 JSON 模拟数据。
使用Permissions API检查摄像头、地理位置、通知等权限的当前状态和可查询性。
编写O与对应KR,可视化进度条与完成度,团队或个人目标跟踪的轻量替代。
粘贴 npm audit --json 的输出,以表格和图表形式展示漏洞级别、影响包和修复建议。
设置不同验证属性和自定义消息,测试HTML5表单验证触发效果。
输入常见的报错片段,基于静态库返回常见的解释和可能的修复方案。
输入一组快捷键,检测在主流操作系统和浏览器中是否已被系统或软件占用。
向指定 URL 发送预检请求,分析 Access-Control-* 响应头是否符合预期。
显示当前页面动画的实时 FPS 图表,检测掉帧和卡顿,辅助性能优化。
记录页面交互触发的所有DOM事件及其目标、冒泡阶段,以日志和瀑布形式展示。
执行各种属性修改,可视化显示哪些操作触发回流或重绘,帮助编写高性能代码。
展示一些常用内置HTML元素和自定义元素例子,提供代码复制。
使用Service Worker拦截fetch请求,并返回用户自定义的JSON模拟数据,用于前端独立开发。
输入 HTML/CSS/JS 代码,在隔离沙箱中即时渲染,支持控制台捕获。
上传CSV文件,自动计算每列的计数、唯一值、缺失率及数值型分布直方图,快速了解数据。
输入几个选项,随机选出其中一项,包含简单动画,帮您解决晚餐吃啥。
上传设计原型或截图,在特定位置添加编号气泡式评论,方便反馈收集。