无需登录 数据私有 本地保存

HTTP 安全响应头评估器 - 综合评分与报告

38
0
0
0

HTTP 安全响应头评估器

全面检测网站HTTP安全响应头配置,获取综合评分与详细改进报告

从浏览器开发者工具 (F12 → Network → Response Headers) 或 curl 命令获取响应头 格式: Header-Name: value
快速加载示例:
由于浏览器CORS限制,直接获取跨域响应头可能失败。如遇失败,请使用 curl -sI <URL> 获取响应头后粘贴到「粘贴响应头」标签页分析。
综合安全评分
-
0/100
等待分析
✓ 通过: 0 ⚠ 警告: 0 ✗ 缺失: 0
安全响应头详细报告
安全响应头 状态 当前值 得分
逐项深度分析
改进建议与修复方案
常见问题与知识点

CSP(内容安全策略)是现代Web安全的核心防御机制之一,通过声明允许加载资源的来源来有效防止XSS(跨站脚本攻击)、数据注入等攻击。它被认为是"最重要的安全响应头",因为它从根本上限制了恶意脚本的执行能力。一个精心配置的CSP可以阻止内联脚本、限制资源加载来源、控制表单提交目标等。推荐配置示例:default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' https:;。避免使用'unsafe-inline''unsafe-eval',它们会削弱CSP的保护效果。

HSTS强制浏览器在指定时间内只能通过HTTPS访问网站,有效防止SSL剥离攻击和中间人攻击。当用户首次通过HTTPS访问配置了HSTS的网站后,浏览器会记住这个指令,后续即使手动输入HTTP地址也会自动升级为HTTPS。最佳实践配置:max-age=31536000; includeSubDomains; preload。其中max-age至少应设置为1年(31536000秒),includeSubDomains确保所有子域名也受保护,preload允许网站被提交到浏览器的HSTS预加载列表,在首次访问前就已获得保护。

X-Frame-Options是较老的响应头,用于防止点击劫持攻击,支持DENY(禁止所有框架嵌套)和SAMEORIGIN(仅允许同源嵌套)。而CSP的frame-ancestors指令功能更强大,支持白名单多个来源。现代最佳实践建议同时配置两者以获得最大的浏览器兼容性,但优先使用CSP的frame-ancestors 'none'frame-ancestors 'self'。如果两者都配置了,CSP的指令优先级更高。

Referrer-Policy控制浏览器在请求中发送的Referer信息量。no-referrer完全不发送(最严格),strict-origin-when-cross-origin(推荐默认值)在同源时发送完整URL,跨域时仅发送源信息且在HTTPS→HTTP降级时不发送,unsafe-url始终发送完整URL(不推荐,可能泄露敏感路径信息)。对于大多数网站,strict-origin-when-cross-origin在隐私和可用性之间取得了良好平衡。

步骤如下:① 按F12打开开发者工具;② 切换到Network(网络)标签;③ 刷新页面(F5);④ 在请求列表中找到第一个文档类型的请求(通常是网站域名);⑤ 点击该请求,在右侧面板中找到Response Headers(响应头)部分;⑥ 全选复制所有响应头内容,粘贴到本工具的输入框中即可进行分析。也可以使用命令行工具:curl -sI https://your-domain.com 直接获取响应头。

Permissions-Policy(原Feature-Policy)允许网站控制浏览器功能的访问权限。建议至少限制:camera=(), microphone=(), geolocation=()(如果网站不需要这些功能),payment=()(如无支付需求),usb=(), bluetooth=()(限制硬件访问)。合理配置可以减少恶意脚本利用浏览器API进行攻击的风险。格式示例:Permissions-Policy: camera=(), microphone=(), geolocation=(self), payment=()

这三个响应头对于使用SharedArrayBuffer等高级功能的站点至关重要。COEP (Cross-Origin-Embedder-Policy)控制跨源资源嵌入,COOP (Cross-Origin-Opener-Policy)控制顶级文档的跨源交互,CORP (Cross-Origin-Resource-Policy)控制资源是否可被跨源加载。如果网站不使用SharedArrayBuffer或类似功能,这些头的重要性相对较低,但配置它们仍是良好的安全实践。注意:启用COEP可能需要调整所有资源加载策略,不正确的配置可能导致页面功能异常。

X-XSS-Protection利用浏览器的内置XSS过滤器,曾在旧版浏览器中提供一定保护。但现代浏览器已逐步弃用此功能(Chrome已移除、Edge已移除),因为该机制本身可能被滥用(攻击者可以利用过滤器的行为进行XSS攻击)。现代Web安全已转向使用CSP来防御XSS,CSP提供了更精细和可靠的控制。建议设置X-XSS-Protection: 0明确禁用旧版过滤,将防御重心放在正确配置的CSP上。

建议采用多层策略:① 定期使用本工具手动检查;② 集成到CI/CD流程中,在部署前自动检测响应头配置;③ 使用安全扫描工具(如Mozilla Observatory、SecurityHeaders.com)进行定期扫描;④ 配置Web服务器(Nginx/Apache/Caddy)模板确保所有响应默认包含安全头;⑤ 使用监控服务在响应头配置变更时发出告警。安全是一个持续的过程,响应头配置应随安全最佳实践的发展而不断更新。