无需登录 数据私有 本地保存

HTTP安全头检测 - 全面安全评估

12
0
0
0

HTTP 安全头检测工具

全面评估网站HTTP响应安全头配置,发现潜在安全风险并提供修复建议

受CORS限制,仅支持同源或已配置CORS的站点。跨域失败请使用"手动粘贴"模式。
提示:在终端执行 curl -I https://你的域名 即可获取响应头

正在检测中...

-

等待检测

请输入目标URL或粘贴响应头开始检测

安全: 0 警告: 0 缺失: 0
安全头详细检测结果
修复建议
常见问题与知识点
什么是HTTP安全响应头?为什么它们很重要?
HTTP安全响应头是服务器在HTTP响应中返回的额外头部字段,用于指导浏览器执行各种安全策略。它们可以帮助防御XSS跨站脚本攻击、点击劫持、MIME类型嗅探、中间人攻击等常见Web安全威胁。没有正确配置安全头的网站更容易受到攻击,可能导致用户数据泄露、会话劫持等严重后果。OWASP(开放Web应用安全项目)将安全头配置列为Web安全的基础要求。
Content-Security-Policy (CSP) 应该怎么配置?
CSP是最强大的安全头之一,通过白名单机制控制浏览器可以加载哪些资源。基础配置建议:default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';。避免使用'unsafe-inline''unsafe-eval'为script-src,这会削弱防护能力。建议使用nonce或hash替代内联脚本。生产环境使用Content-Security-Policy而非Content-Security-Policy-Report-Only。
HSTS (Strict-Transport-Security) 的作用是什么?
HSTS强制浏览器仅通过HTTPS访问网站,即使用户输入的是HTTP地址。它能有效防止SSL剥离攻击和中间人攻击。推荐配置:Strict-Transport-Security: max-age=31536000; includeSubDomains; preload。max-age至少应为1年(31536000秒),includeSubDomains确保子域名也受保护,preload可以将站点提交到浏览器内置的HSTS预加载列表,提供更强的保护。
X-Frame-Options 和 CSP frame-ancestors 有什么区别?
两者都用于防止点击劫持攻击,但CSP的frame-ancestors更灵活强大。X-Frame-Options只支持DENY和SAMEORIGIN两个值,而frame-ancestors可以指定具体的允许域名列表。现代浏览器优先遵循frame-ancestors指令。建议同时配置两者以兼容旧浏览器,但确保策略一致。
Referrer-Policy 应该设置为什么值?
Referrer-Policy控制浏览器在跳转时发送的Referer信息量。推荐设置为strict-origin-when-cross-origin(这是现代浏览器的默认值),它在同源请求中发送完整URL,跨域时只发送域名(不含路径和查询参数),从HTTPS到HTTP时完全不发送。更严格的选项包括no-referrersame-origin。避免使用unsafe-url,它会泄露完整URL。
如何检查我的网站Cookie是否安全?
安全的Cookie应同时设置三个属性:HttpOnly(防止JavaScript访问,防御XSS窃取cookie)、Secure(仅通过HTTPS传输,防止中间人窃听)、SameSite=Strict或Lax(防止CSRF跨站请求伪造攻击)。在Set-Cookie响应头中:Set-Cookie: sessionid=abc123; HttpOnly; Secure; SameSite=Lax; Path=/。注意:通过浏览器fetch API无法检测Set-Cookie头,需使用curl或浏览器开发者工具查看。
什么是 Permissions-Policy?如何配置?
Permissions-Policy(原Feature-Policy)控制浏览器API的使用权限,如摄像头、麦克风、地理位置等。它可以限制哪些源可以使用这些功能。示例配置:Permissions-Policy: camera=(), microphone=(), geolocation=(self), payment=(self)。空括号()表示完全禁止该功能。这个头部有助于防止恶意脚本滥用浏览器功能,减少攻击面。
Cross-Origin 系列头部(COOP/COEP/CORP)有什么用?
这三个头部用于跨域隔离,防范Spectre等侧信道攻击:
Cross-Origin-Opener-Policy (COOP):控制顶级文档的跨域交互,推荐same-origin
Cross-Origin-Embedder-Policy (COEP):控制文档可加载的跨域资源,推荐require-corpcredentialless
Cross-Origin-Resource-Policy (CORP):控制资源是否可被跨域加载,推荐same-originsame-site
注意:启用COEP要求所有跨域资源也返回相应的CORP头,否则资源加载会失败,配置需谨慎。
🔧 相关工具