安全响应头检测

输入你自己网站的 URL，即可为 CSP、HSTS、X-Frame-Options 等 HTTP 安全响应头评分，并给出缺失配置的修复方法和可直接复制粘贴的推荐配置。

本工具由本站服务器对目标 URL 仅请求一次，且只评估响应头，不会保存正文。对内网及私有地址的访问已被拦截。

用示例试一下（检测本站自身）

综合评分

86 / 100

https://itdef.net/ja

Content-Security-Policy偏弱
当前值: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
大幅降低 XSS 影响的纵深防御核心。应避免使用 unsafe-inline。 default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security (HSTS)正常
当前值: max-age=63072000; includeSubDomains; preload
X-Frame-Options正常
当前值: DENY
X-Content-Type-Options正常
当前值: nosniff
Referrer-Policy正常
当前值: strict-origin-when-cross-origin
Permissions-Policy正常
当前值: camera=(), microphone=(), geolocation=(), browsing-topics=()
Cross-Origin-Opener-Policy正常
当前值: same-origin-allow-popups
信息泄露 (Server / X-Powered-By)正常

给 AI 的改进指令（复制粘贴）

粘贴到 Claude / ChatGPT，即可获得针对你所用环境的具体修复方法。

你是一名 Web 安全专家。我的网站（https://itdef.net/ja）缺少部分 HTTP 安全响应头。请仅出于防御目的，针对我所使用的服务器/框架（nginx / Caddy / Apache / Next.js 等），用具体的代码示例告诉我如何安全地配置以下各项。如果你不清楚我用的是哪种服务器，请向我提问。同时请告诉我配置完成后如何验证响应头是否已正确生效。

- Content-Security-Policy（需改进）→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

注意：请确保不破坏分析标签、广告等既有功能，采用兼顾兼容性的配置。无需讲解攻击手法或绕过方法。

使用方法

1
输入一个你自己管理的网站 URL。
2
对主要安全响应头的有无与强度进行评分。
3
依据显示的修复方法和推荐配置，加固「未配置」「偏弱」的项目。

为什么重要

安全响应头是“纵深防御”中低成本且高效的一招。用 CSP 抑制 XSS 的影响，用 HSTS 将通信长期固定为 HTTPS，用 X-Frame-Options 防御点击劫持——每一项都只需在服务器配置中加几行。惯例是先从严格的默认值开始，再按需放宽。

常见问题

Q可以检测别人的网站吗？

本工具只对目标 URL 请求一次并查看响应头，不进行主动扫描或攻击（与用浏览器打开它的范围相同）。不过其用途定位于“检查你自己的网站”。

Q不是满分（A）就危险吗？

不是。根据网站性质，有些响应头并不需要。重要的是 CSP、HSTS、X-Frame-Options、X-Content-Type-Options。只要这些齐备，实际使用中就已足够稳固。

安全响应头检测

给 AI 的改进指令（复制粘贴）

推荐响应头（可复制粘贴的起步配置）

使用方法

为什么重要

常见问题

相关页面