HTTP 安全响应头评估器 - 综合评分与报告
获取 URL 的响应头,评估 CSP、HSTS、X-Content-Type-Options 等设置,生成详细的安全评分报告。
UD5工具箱
正在获取响应头信息...
eval()。一个严格配置的 CSP 可以阻止绝大多数 XSS 攻击向量。推荐使用 default-src 'self' 作为起点,逐步细化各资源类型的策略。避免使用 'unsafe-inline' 和 'unsafe-eval'。
max-age 建议至少设置为 1年(31536000秒)。Google 等大型网站通常设置为2年。过短的时间(如几小时或几天)无法有效保护用户免受 SSL 剥离攻击。如果确认网站将长期使用 HTTPS,强烈建议启用 includeSubDomains 指令,并可考虑提交到 HSTS Preload List。
X-Content-Type-Options: nosniff 阻止浏览器进行 MIME 类型嗅探。如果没有这个头部,浏览器可能会错误地将文本文件解析为可执行脚本,或将图片解析为 HTML,从而导致安全漏洞。这是一个配置简单但效果显著的安全头,每个网站都应该设置。
strict-origin-when-cross-origin(现代浏览器默认,推荐)no-referrer(最严格,不发送任何引用信息)same-origin(仅同源发送完整引用)unsafe-url(会泄露完整URL到跨域请求)。设置合适的 Referrer-Policy 可以防止敏感信息通过 URL 泄露给第三方。
curl -I https://your-site.com 获取响应头。定期检查安全头配置是网站安全维护的重要环节。
获取 URL 的响应头,评估 CSP、HSTS、X-Content-Type-Options 等设置,生成详细的安全评分报告。
发起请求获取当前URL或任意允许CORS的URL的Response Headers,展示详情。
在线响应式布局测试器,同时预览常见设备分辨率的网页显示效果,帮助检查前端适配。
向任意输入URL发送请求,清晰显示响应状态码、头信息和体,类似轻量级Postman。
粘贴Link rel=preload头字段,解析展示服务器计划推送的资源列表。
使用Permissions API检查摄像头、地理位置、通知等权限的当前状态和可查询性。
通过按下键位记录code和key值,推断当前键盘布局(如QWERTY、AZERTY)。
输入 URL,列出所有第三方域名的脚本,估算其对加载时间的影响。
覆盖加载、渲染、安全、可访问性等领域的自查清单,勾选后生成得分与建议。
点击人体模型不同部位,列出该区域常见不适及可能原因,引导就医,非诊断。
执行各种属性修改,可视化显示哪些操作触发回流或重绘,帮助编写高性能代码。
向指定 URL 发送不同 HTTP 方法的请求,显示响应状态码、头部和主体,学习 RESTful API。
上传正面照,粗略选取头发区域,滑动改变发色,预览染发效果。
生成带有动画的点赞/点踩或表情反馈组件,包含选中状态和计数。
使用Service Worker拦截fetch请求,并返回用户自定义的JSON模拟数据,用于前端独立开发。
选择算法并随机生成数组,以彩色条动画展示排序过程,帮助理解算法。
定义字段名称和类型(姓名、邮箱、数字范围等),批量生成符合规则的 JSON 模拟数据。
内置多种轻短的通知声音,点击试听,选择配套项目使用(提供Base64代码)。
输入额头、颧骨、下巴宽度及脸长数据,工具推测你的大致脸型。
输入 HTML/CSS/JS 代码,在隔离沙箱中即时渲染,支持控制台捕获。
输入一组快捷键,检测在主流操作系统和浏览器中是否已被系统或软件占用。
显示人体骨骼图,拖拽骨骼名称到对应位置,检验解剖学知识。
搜索知名品牌名称,显示其标志性的官方HEX颜色代码。
读取LinearAccelerationSensor,检测设备的物理移动和摇动动作,触发特效。
编写O与对应KR,可视化进度条与完成度,团队或个人目标跟踪的轻量替代。
显示当前页面所有资源的详细加载时序(DNS、连接、等待、接收),帮助优化。
记录页面交互触发的所有DOM事件及其目标、冒泡阶段,以日志和瀑布形式展示。
逐步展示SW从注册、安装到激活的完整流程,并模拟更新与跳过等待的场景。
根据输入的外部域名,生成 dns-prefetch、preconnect 和 preload 标签。
输入代表情绪的关键词,自动匹配配色方案和字体样式,生成情绪板卡片。