HTTP 头部分析器

分析 HTTP 响应头并检查安全头部。粘贴原始头部获取安全评分。

提示：使用浏览器开发者工具（网络标签）或 curl -I URL 获取头部

粘贴 HTTP 响应头

安全审计

检查 10 个关键安全头部，包括 HSTS、CSP、X-Frame-Options 和 COOP。

安全评分

根据安全头部的存在和严重级别获取加权安全评分。

头部分类

按类别过滤头部：安全、缓存、CORS 和通用头部。

如何使用 HTTP 头部分析器

1.使用 curl -I https://your-site.com 或浏览器开发者工具（网络标签）获取 HTTP 头部。
2.将原始头部粘贴到输入区域并点击分析。
3.查看安全评分和各个头部检查的严重级别。
4.使用分类过滤器关注安全、缓存、CORS 或通用头部。
5.在服务器配置中添加缺失的关键头部以提高安全评分。

常见问题

什么是 HTTP 响应头？

HTTP 响应头是服务器随请求资源一起发送的元数据。它们包含有关缓存、内容类型、安全策略、CORS 设置等信息。正确配置的头部对安全和性能至关重要。

最重要的安全头部有哪些？

最关键的安全头部是：Strict-Transport-Security (HSTS) 强制 HTTPS，Content-Security-Policy (CSP) 防止 XSS 攻击，X-Frame-Options 防止点击劫持。其他重要头部包括 X-Content-Type-Options、Referrer-Policy 和 Permissions-Policy。

如何为我的网站添加安全头部？

安全头部在服务器端配置。在 Nginx 中使用 add_header 指令。在 Apache 中使用 Header set 指令。对于 Vercel/Netlify，在 vercel.json 或 netlify.toml 中配置头部。对于 Express.js，使用 helmet 中间件包。

什么样的安全头部评分算好？

80% 及以上的分数被认为是良好的，意味着大多数关键安全头部都存在。低于 50% 的分数表示存在需要解决的重大安全头部缺失。优先实施 HSTS、CSP 和 X-Frame-Options，因为它们提供最多保护。