HTTP安全响应头检测
访问URL并对HSTS、CSP、X-Frame-Options等关键安全响应头进行评分。
关于这个HTTP安全响应头检测
本工具会获取你输入的URL(跟随重定向),并对浏览器会处理的安全响应头进行评分。每个响应头都会显示已设置/注意/未设置以及简短的修复建议。得分越高,针对XSS、点击劫持、协议降级和MIME嗅探的攻击面就越小。
我们检测的响应头
| 响应头 | 防御对象 |
|---|---|
Strict-Transport-Security |
协议降级/SSL剥离 |
Content-Security-Policy |
跨站脚本(XSS)、数据注入 |
X-Content-Type-Options |
MIME类型嗅探 |
X-Frame-Options |
点击劫持 |
Referrer-Policy |
来源URL泄露 |
Permissions-Policy |
摄像头/麦克风/定位API滥用 |
HSTS仅在HTTPS下有意义,因此在纯HTTP的URL上会标为注意而非失败。修复响应头后,请用 SSL检测 再确认证书。深入了解:HTTP安全响应头详解。
常见问题
满分就代表我的网站安全了吗?
不是。这些响应头是纵深防御式的加固,不能替代安全的代码、及时的补丁和良好的认证。高分能减少常见的浏览器端攻击,但并不审计你的应用逻辑。
为什么我的HTTP站点上HSTS显示为注意?
通过纯HTTP传输时,浏览器会忽略 Strict-Transport-Security。请使用HTTPS提供服务并在HTTPS响应上设置该头,它才会生效。
我应该立刻设置严格的CSP吗?
请谨慎推进。先用report-only模式观察是否有合法资源被拦截,再切换为强制。过于严格的CSP可能破坏内联脚本、统计和广告。