安全响应头检测
输入你自己网站的 URL,即可为 CSP、HSTS、X-Frame-Options 等 HTTP 安全响应头评分,并给出缺失配置的修复方法和可直接复制粘贴的推荐配置。
本工具由本站服务器对目标 URL 仅请求一次,且只评估响应头,不会保存正文。对内网及私有地址的访问已被拦截。
使用方法
- 1
输入一个你自己管理的网站 URL。
- 2
对主要安全响应头的有无与强度进行评分。
- 3
依据显示的修复方法和推荐配置,加固「未配置」「偏弱」的项目。
为什么重要
安全响应头是“纵深防御”中低成本且高效的一招。用 CSP 抑制 XSS 的影响,用 HSTS 将通信长期固定为 HTTPS,用 X-Frame-Options 防御点击劫持——每一项都只需在服务器配置中加几行。惯例是先从严格的默认值开始,再按需放宽。
常见问题
Q可以检测别人的网站吗?
A
本工具只对目标 URL 请求一次并查看响应头,不进行主动扫描或攻击(与用浏览器打开它的范围相同)。不过其用途定位于“检查你自己的网站”。
Q不是满分(A)就危险吗?
A
不是。根据网站性质,有些响应头并不需要。重要的是 CSP、HSTS、X-Frame-Options、X-Content-Type-Options。只要这些齐备,实际使用中就已足够稳固。