安全標頭檢測
輸入你自己網站的 URL,即可為 CSP、HSTS、X-Frame-Options 等 HTTP 安全標頭評分,並給出缺少設定的修復方法和可直接複製貼上的推薦設定。
本工具由本站伺服器對目標 URL 僅請求一次,且只評估回應標頭,不會儲存正文。對內網及私有位址的存取已被攔截。
使用方法
- 1
輸入一個你自己管理的網站 URL。
- 2
對主要安全標頭的有無與強度進行評分。
- 3
依據顯示的修復方法和推薦設定,加固「未設定」「偏弱」的項目。
為什麼重要
安全標頭是「縱深防禦」中低成本且高效的一招。用 CSP 抑制 XSS 的影響,用 HSTS 將通訊長期固定為 HTTPS,用 X-Frame-Options 防禦點擊劫持——每一項都只需在伺服器設定中加幾行。慣例是先從嚴格的預設值開始,再依需求放寬。
常見問題
Q可以檢測別人的網站嗎?
A
本工具只對目標 URL 請求一次並查看回應標頭,不進行主動掃描或攻擊(與用瀏覽器開啟它的範圍相同)。不過其用途定位於「檢查你自己的網站」。
Q不是滿分(A)就危險嗎?
A
不是。根據網站性質,有些標頭並不需要。重要的是 CSP、HSTS、X-Frame-Options、X-Content-Type-Options。只要這些齊備,實際使用中就已足夠穩固。