# HTTP 安全標頭檢查器

> 免費貼上模式 HTTP 安全標頭檢查器，適合 localhost、staging 與私人環境，不必公開 URL。

- **Category:** 開發者
- **URL:** https://www.teafun.cyou/tools/http-headers-checker/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers
- **Related tools:** [Log 格式化工具](https://www.teafun.cyou/tools/log-formatter/), [JWT 解碼器](https://www.teafun.cyou/tools/jwt-decoder/), [JSON 格式化 / 驗證器](https://www.teafun.cyou/tools/json-formatter/)
- **Tags:** Data, Security

## About

貼上原始 response headers 或 curl -I 輸出，即可在本地檢查 CSP、HSTS、COOP 等常見安全標頭。

## 如何使用 HTTP 安全標頭檢查器

執行 `curl -sI https://your.endpoint/` 或從 DevTools -> 網路 -> 標頭 -> 回應複製。貼上包含狀態行（`HTTP/2 200`）的完整區塊。檢查器允許重新導向（`301`/`302`/`307`/`308`）並為最終回應評分。根據 OWASP 建議值評估每個標頭：通過（符合建議）、警告（存在但較弱——例如 HSTS `max-age=300` 太短而無效）、失敗（缺失或主動不安全——例如 `Access-Control-Allow-Origin: *` 用於需認證的端點）。報告將每項發現連結到相關 MDN 文檔和 OWASP 速查表。常見陷阱：同時設定 `X-Frame-Options: DENY` 和 `Content-Security-Policy: frame-ancestors 'none'` 是冗餘但不錯誤——`frame-ancestors` 在現代瀏覽器上勝出，X-Frame-Options 保留供舊版使用。CSP `'unsafe-inline'` 在 `script-src` 中會破壞 XSS 防護政策；即使 CSP 其餘部分穩健也標為失敗。

## 為什麼 HTTP 安全標頭很重要

缺少安全標頭是滲透測試中最常見的發現，因為它們無形：一個網站可以提供正確的 HTML 但仍因回應標頭錯誤而無法通過稽核。PCI DSS 4.0（2025年3月）、SOC 2 信託服務準則和 ISO 27001:2022 Annex A 8.26 都將缺少 CSP / HSTS / X-Frame-Options 標記為控制漏洞。修復成本是反向代理中的一行（nginx 中 `add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;`、`vercel.json` 中的一個區塊、Cloudflare Workers 中的三行）——但在稽核員或競爭對手的安全撰文公開之前發現不了。CI 整合的標頭檢查能攔截回歸：某個部署將你的 CSP 從 `default-src 'self'` 翻轉為 `default-src *` 因為有人除錯時複製貼上了錯誤的規則。在合併部署 PR 前透過此檢查器執行標頭能捕捉差異。

_SEO title: HTTP 安全標頭檢查器 – 貼上模式 | TeaFun_

## FAQ

### 可以貼上 localhost 或 staging headers 嗎？

可以。這個工具本來就是為貼上模式設計，因此您可以檢查 localhost、內部 staging 或任何私人環境的 headers，而不需要公開網址。

### 為什麼不直接 fetch URL？

許多私人環境根本無法直接抓取，而且也可能暴露內部 endpoint。貼上模式能保持流程私密，同時支援 curl 與瀏覽器 DevTools。

### 高分是否代表一定安全？

不是。這個工具只會檢查常見 response headers 與已知配置問題，並不等於完整的應用程式安全審核。