HTTP 安全标头检查器
粘贴 raw response headers 或 curl -I 输出,即可在本地检查 CSP、HSTS、COOP 等常见安全标头。
粘贴 raw response headers 或 curl -I 输出。如果包含 redirect chain,系统会以最后一个 response block 评分。
粘贴原始 HTTP response headers 或 curl -I 输出
什么是 HTTP 安全头检查器?
HTTP 安全头检查器根据 OWASP 安全最佳实践分析响应头,并以 0-100 分评分。它评估 Content-Security-Policy(CSP)、Strict-Transport-Security(HSTS)、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy 以及跨源头,包括 COOP、COEP 和 CORP。与抓取公开 URL 的在线扫描器不同,这个工具以粘贴模式运作——你从 curl -I 输出、浏览器开发者工具或反向代理日志中复制原始头并直接粘贴到检查器。这种设计非常适合 localhost 开发服务器、VPN 后的预发布环境、内部 API 和任何不可公开访问的端点。不会抓取 URL、不会暴露端点,头数据也不会离开你的浏览器。
如何使用 HTTP 安全头检查器
对你的目标 URL 运行 curl -I 或从浏览器开发者工具的网络标签页复制响应头。将原始头粘贴到输入字段——工具接受包含状态行的完整 curl 输出。点击「分析头」生成安全报告。每个头以通过、警告或失败评分,并附带说明。如果你的粘贴内容包含多个响应块(例如来自重定向链),检查器会为最终响应评分。查看未通过的检查,更新你的服务器配置,然后粘贴新头重新测试。
为什么 HTTP 安全头很重要
安全头是抵御 XSS、点击劫持、MIME 嗅探和数据注入攻击的第一道防线。OWASP 将缺少安全头列为 Web 应用程序中常见的错误配置。缺少 Content-Security-Policy 让注入的脚本自由执行。没有 HSTS,用户可以通过中间人攻击被降级到 HTTP。缺少 X-Frame-Options 会启用点击劫持。安全审计、渗透测试和合规框架(PCI DSS、SOC 2)都会检查这些头。将头检查集成到你的 CI/CD 流水线——从测试部署导出头、在此处粘贴、验证分数——能在回归问题到达生产环境之前拦截它们。
常见问题
可以粘贴 localhost 或 staging headers 吗?
可以。这个工具本来就是为 paste mode 设计的,所以你可以检查 localhost、内部 staging 或任何私有环境的 headers,而不需要公开网址。
为什么不直接抓取 URL?
很多私有环境根本无法直接抓取,而且还会暴露内部 endpoint。Paste mode 可以保持流程私密,同时兼容 curl 与浏览器 devtools。
高分是否代表一定安全?
不是。这个工具只会检查常见 response headers 和已知配置问题,并不等于完整的应用安全审计。
把这个工具放进更大的流程里
这些集合会把常见的后续工具和指南整理成同一条工作路径。
浏览相同标签
跳转到其他拥有相同工作流、格式或用途的工具。