安全標頭檢測

輸入你自己網站的 URL，即可為 CSP、HSTS、X-Frame-Options 等 HTTP 安全標頭評分，並給出缺少設定的修復方法和可直接複製貼上的推薦設定。

本工具由本站伺服器對目標 URL 僅請求一次，且只評估回應標頭，不會儲存正文。對內網及私有位址的存取已被攔截。

用範例試一下（檢測本站自身）

綜合評分

86 / 100

https://itdef.net/ja

Content-Security-Policy偏弱
目前值: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
大幅降低 XSS 影響的縱深防禦核心。應避免使用 unsafe-inline。 default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security (HSTS)正常
目前值: max-age=63072000; includeSubDomains; preload
X-Frame-Options正常
目前值: DENY
X-Content-Type-Options正常
目前值: nosniff
Referrer-Policy正常
目前值: strict-origin-when-cross-origin
Permissions-Policy正常
目前值: camera=(), microphone=(), geolocation=(), browsing-topics=()
Cross-Origin-Opener-Policy正常
目前值: same-origin-allow-popups
資訊洩漏 (Server / X-Powered-By)正常

給 AI 的改進指令（複製貼上）

貼到 Claude / ChatGPT，即可取得針對你所用環境的具體修復方法。

你是一名 Web 安全專家。我的網站（https://itdef.net/ja）缺少部分 HTTP 安全標頭。請僅出於防禦目的，針對我所使用的伺服器/框架（nginx / Caddy / Apache / Next.js 等），用具體的程式碼範例告訴我如何安全地設定以下各項。如果你不清楚我用的是哪種伺服器，請向我提問。同時請告訴我設定完成後如何驗證標頭是否已正確生效。

- Content-Security-Policy（需改進）→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

注意：請確保不破壞分析標籤、廣告等既有功能，採用兼顧相容性的設定。無需講解攻擊手法或繞過方法。

使用方法

1
輸入一個你自己管理的網站 URL。
2
對主要安全標頭的有無與強度進行評分。
3
依據顯示的修復方法和推薦設定，加固「未設定」「偏弱」的項目。

為什麼重要

安全標頭是「縱深防禦」中低成本且高效的一招。用 CSP 抑制 XSS 的影響，用 HSTS 將通訊長期固定為 HTTPS，用 X-Frame-Options 防禦點擊劫持——每一項都只需在伺服器設定中加幾行。慣例是先從嚴格的預設值開始，再依需求放寬。

常見問題

Q可以檢測別人的網站嗎？

本工具只對目標 URL 請求一次並查看回應標頭，不進行主動掃描或攻擊（與用瀏覽器開啟它的範圍相同）。不過其用途定位於「檢查你自己的網站」。

Q不是滿分（A）就危險嗎？

不是。根據網站性質，有些標頭並不需要。重要的是 CSP、HSTS、X-Frame-Options、X-Content-Type-Options。只要這些齊備，實際使用中就已足夠穩固。

安全標頭檢測

給 AI 的改進指令（複製貼上）

推薦標頭（可複製貼上的起步設定）

使用方法

為什麼重要

常見問題

相關頁面