无需登录 数据私有 本地保存

安全头部报告卡 - 检测并评分 HTTP 安全响应头

17
0
0
0
发送 HEAD 请求获取响应头。如遇 CORS 限制,请使用手动粘贴模式
Google GitHub httpbin
检测中...

正在获取响应头信息...

0
--

安全头部报告卡

0
已配置
0
缺失
0
需优化
安全响应头详情
改进建议
常见问题与知识点

HTTP 安全响应头是服务器在响应中返回的一组特殊 HTTP 头部,用于指示浏览器启用各种安全机制。它们可以帮助防御 XSS 攻击、点击劫持、内容嗅探、中间人攻击等常见 Web 安全威胁。常见的包括 CSP、HSTS、X-Frame-Options 等。正确配置这些头部是 Web 应用安全的基础防线之一。

CSP 被认为是防御 XSS(跨站脚本攻击)最有效的机制。它通过白名单机制控制浏览器可以加载哪些资源(脚本、样式、图片等),并可以禁用内联脚本和 eval()。一个严格配置的 CSP 可以阻止绝大多数 XSS 攻击向量。推荐使用 default-src 'self' 作为起点,逐步细化各资源类型的策略。避免使用 'unsafe-inline''unsafe-eval'

Strict-Transport-Security (HSTS) 的 max-age 建议至少设置为 1年(31536000秒)。Google 等大型网站通常设置为2年。过短的时间(如几小时或几天)无法有效保护用户免受 SSL 剥离攻击。如果确认网站将长期使用 HTTPS,强烈建议启用 includeSubDomains 指令,并可考虑提交到 HSTS Preload List

X-Content-Type-Options: nosniff 阻止浏览器进行 MIME 类型嗅探。如果没有这个头部,浏览器可能会错误地将文本文件解析为可执行脚本,或将图片解析为 HTML,从而导致安全漏洞。这是一个配置简单但效果显著的安全头,每个网站都应该设置

推荐的 Referrer-Policy 值包括:
strict-origin-when-cross-origin(现代浏览器默认,推荐)
no-referrer(最严格,不发送任何引用信息)
same-origin(仅同源发送完整引用)
不建议使用 unsafe-url(会泄露完整URL到跨域请求)。设置合适的 Referrer-Policy 可以防止敏感信息通过 URL 泄露给第三方。

可以使用本工具输入URL自动检测(如果服务器允许CORS),或在浏览器中打开开发者工具(F12)→ Network 标签 → 点击任意请求 → 查看 Response Headers 部分,复制粘贴到本工具的手动模式进行评分。也可以使用命令行工具:curl -I https://your-site.com 获取响应头。定期检查安全头配置是网站安全维护的重要环节。