按 / 键搜索

HTTP 安全标头检查器

粘贴 raw response headers 或 curl -I 输出,即可在本地检查 CSP、HSTS、COOP 等常见安全标头。

仅支持 paste mode。标头分析完全在本地进行,staging 和 localhost 响应都只会留在你的设备上。

粘贴 raw response headers 或 curl -I 输出。如果包含 redirect chain,系统会以最后一个 response block 评分。

0 字节

粘贴原始 HTTP response headers 或 curl -I 输出

你刚测试了HTTP 安全标头检查器 — 试试 日志格式化工具 →

什么是 HTTP 安全头检查器?

HTTP 安全头告诉浏览器如何处理跨源请求、脚本执行、混合内容和嵌入环境——它们是你能部署的最便宜的加固,因为唯一的成本是配置编辑。检查器根据 OWASP Secure Headers Project 建议和 Mozilla Observatory 评分标准评分。它评估的关键头:Content-Security-Policy(白名单允许的脚本/样式/图片来源;default-src 'self' 基准阻止大多数 XSS)、Strict-Transport-Security(HSTS——强制 HTTPS max-age 秒;值 >=31536000 带 includeSubDomains; preload 符合 hstspreload.org 上的 HSTS 预加载列表,内置于 Chrome / Firefox / Safari)、X-Content-Type-Options: nosniff(阻止浏览器将 .txt 误嗅为 HTML)、X-Frame-Options: DENY / CSP frame-ancestors(防点击劫持——frame-ancestors 是现代 CSP 等效且覆盖 X-Frame-Options)、Referrer-Policy(控制传给第三方的 Origin/路径)、Permissions-Policy(曾为 Feature-Policy——退出摄像头、麦克风、地理定位)、以及 Cross-Origin Isolation 三部曲 COOP / COEP / CORP 这限制了 SharedArrayBuffer 和高分辨率计时器。与 URL 型扫描器(securityheaders.com、Mozilla Observatory)不同,这个工具接受从 curl -I 或 DevTools 粘贴的头,所以 VPN 或 localhost 后的内部端点仍可评分而无需暴露它们。

如何使用 HTTP 安全头检查器

执行 curl -sI https://your.endpoint/ 或从 DevTools -> 网络 -> 标头 -> 响应复制。粘贴包含状态行(HTTP/2 200)的完整块。检查器允许重定向(301/302/307/308)并为最终响应评分。根据 OWASP 建议值评估每个头:通过(符合建议)、警告(存在但较弱——例如 HSTS max-age=300 太短而无效)、失败(缺失或主动不安全——例如 Access-Control-Allow-Origin: * 用于需认证的端点)。报告将每项发现链接到相关 MDN 文档和 OWASP 速查表。常见陷阱:同时设置 X-Frame-Options: DENYContent-Security-Policy: frame-ancestors 'none' 是冗余但不错误——frame-ancestors 在现代浏览器上胜出,X-Frame-Options 保留供旧版使用。CSP 'unsafe-inline'script-src 中会破坏 XSS 防护策略;即使 CSP 其余部分稳健也标为失败。

为什么 HTTP 安全头很重要

缺少安全头是渗透测试中最常见的发现,因为它们无形:一个网站可以提供正确的 HTML 但仍因响应头错误而无法通过审计。PCI DSS 4.0(2025年3月)、SOC 2 信任服务准则和 ISO 27001:2022 Annex A 8.26 都将缺少 CSP / HSTS / X-Frame-Options 标记为控制漏洞。修复成本是反向代理中的一行(nginx 中 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;vercel.json 中的一个块、Cloudflare Workers 中的三行)——但在审计员或竞争对手的安全撰文公开之前发现不了。CI 整合的头检查能拦截回归:某个部署将你的 CSP 从 default-src 'self' 翻转为 default-src * 因为有人调试时复制粘贴了错误的规则。在合并部署 PR 前通过此检查器执行头能捕捉差异。

常见问题

可以粘贴 localhost 或 staging headers 吗?

可以。这个工具本来就是为 paste mode 设计的,所以你可以检查 localhost、内部 staging 或任何私有环境的 headers,而不需要公开网址。

为什么不直接抓取 URL?

很多私有环境根本无法直接抓取,而且还会暴露内部 endpoint。Paste mode 可以保持流程私密,同时兼容 curl 与浏览器 devtools。

高分是否代表一定安全?

不是。这个工具只会检查常见 response headers 和已知配置问题,并不等于完整的应用安全审计。

这些集合会把常见的后续工具和指南整理成同一条工作路径。

开发数据工作流

当你想快速处理 JSON、YAML、env、JWT、headers 和 log 时,可以直接在浏览器里完成格式化、检查、转换与验证。

打开集合 →

浏览相同标签

跳转到其他拥有相同工作流、格式或用途的工具。

数据 8安全 3

根据你当前的操作,这些工具通常会一起使用。

日志格式化工具

粘贴 JSON、nginx、Docker、syslog 或 plain logs,在浏览器本地标准化、按 level 过滤,并快速查看。

数据 格式化 文本

JWT 解码器

在浏览器中本地解码 JWT header 和 payload。查看 claims、过期时间、issuer 和时间戳,无需把 token 发送到任何地方。

数据 安全 文本

JSON 格式化 / 验证器

在浏览器中即时格式化、验证及压缩 JSON。零网络请求,数据不会离开你的设备。

数据 格式化 文本