# HTTP 安全标头检查器 > 免费 paste-mode HTTP 安全标头检查器,适用于 localhost、staging 和私有环境,无需公开 URL。 - **Category:** 开发者 - **URL:** https://www.teafun.cyou/tools/http-headers-checker/ - **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking. - **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers - **Related tools:** [日志格式化工具](https://www.teafun.cyou/tools/log-formatter/), [JWT 解码器](https://www.teafun.cyou/tools/jwt-decoder/), [JSON 格式化 / 验证器](https://www.teafun.cyou/tools/json-formatter/) - **Tags:** Data, Security ## About 粘贴 raw response headers 或 curl -I 输出,即可在本地检查 CSP、HSTS、COOP 等常见安全标头。 ## 如何使用 HTTP 安全头检查器 执行 `curl -sI https://your.endpoint/` 或从 DevTools -> 网络 -> 标头 -> 响应复制。粘贴包含状态行(`HTTP/2 200`)的完整块。检查器允许重定向(`301`/`302`/`307`/`308`)并为最终响应评分。根据 OWASP 建议值评估每个头:通过(符合建议)、警告(存在但较弱——例如 HSTS `max-age=300` 太短而无效)、失败(缺失或主动不安全——例如 `Access-Control-Allow-Origin: *` 用于需认证的端点)。报告将每项发现链接到相关 MDN 文档和 OWASP 速查表。常见陷阱:同时设置 `X-Frame-Options: DENY` 和 `Content-Security-Policy: frame-ancestors 'none'` 是冗余但不错误——`frame-ancestors` 在现代浏览器上胜出,X-Frame-Options 保留供旧版使用。CSP `'unsafe-inline'` 在 `script-src` 中会破坏 XSS 防护策略;即使 CSP 其余部分稳健也标为失败。 ## 为什么 HTTP 安全头很重要 缺少安全头是渗透测试中最常见的发现,因为它们无形:一个网站可以提供正确的 HTML 但仍因响应头错误而无法通过审计。PCI DSS 4.0(2025年3月)、SOC 2 信任服务准则和 ISO 27001:2022 Annex A 8.26 都将缺少 CSP / HSTS / X-Frame-Options 标记为控制漏洞。修复成本是反向代理中的一行(nginx 中 `add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;`、`vercel.json` 中的一个块、Cloudflare Workers 中的三行)——但在审计员或竞争对手的安全撰文公开之前发现不了。CI 整合的头检查能拦截回归:某个部署将你的 CSP 从 `default-src 'self'` 翻转为 `default-src *` 因为有人调试时复制粘贴了错误的规则。在合并部署 PR 前通过此检查器执行头能捕捉差异。 _SEO title: HTTP 安全标头检查器 – Paste Mode | TeaFun_ ## FAQ ### 可以粘贴 localhost 或 staging headers 吗? 可以。这个工具本来就是为 paste mode 设计的,所以你可以检查 localhost、内部 staging 或任何私有环境的 headers,而不需要公开网址。 ### 为什么不直接抓取 URL? 很多私有环境根本无法直接抓取,而且还会暴露内部 endpoint。Paste mode 可以保持流程私密,同时兼容 curl 与浏览器 devtools。 ### 高分是否代表一定安全? 不是。这个工具只会检查常见 response headers 和已知配置问题,并不等于完整的应用安全审计。