HTTP 安全標頭檢查器
貼上原始 response headers 或 curl -I 輸出,即可在本地檢查 CSP、HSTS、COOP 等常見安全標頭。
貼上原始 response headers 或 curl -I 輸出。如果包含 redirect chain,系統會以最後一個 response 區塊評分。
0 位元組
貼上原始 HTTP response headers 或 curl -I 輸出
你剛測試了HTTP 安全標頭檢查器 — 試試 Log 格式化工具 →
什麼是 HTTP 安全標頭檢查器?
HTTP 安全標頭告訴瀏覽器如何處理跨來源請求、腳本執行、混合內容和嵌入環境——它們是你能部署的最便宜的強化,因為唯一的成本是設定編輯。檢查器根據 OWASP Secure Headers Project 建議和 Mozilla Observatory 評分標準評分。它評估的關鍵標頭:Content-Security-Policy(白名單允許的腳本/樣式/圖片來源;default-src 'self' 基準阻止大多數 XSS)、Strict-Transport-Security(HSTS——強制 HTTPS max-age 秒;值 >=31536000 帶 includeSubDomains; preload 符合 hstspreload.org 上的 HSTS 預加載列表,內建於 Chrome / Firefox / Safari)、X-Content-Type-Options: nosniff(阻止瀏覽器將 .txt 誤嗅為 HTML)、X-Frame-Options: DENY / CSP frame-ancestors(防點擊劫持——frame-ancestors 是現代 CSP 等效且覆蓋 X-Frame-Options)、Referrer-Policy(控制傳給第三方的 Origin/路徑)、Permissions-Policy(曾為 Feature-Policy——退出攝像頭、麥克風、地理定位)、以及 Cross-Origin Isolation 三部曲 COOP / COEP / CORP 這限制了 SharedArrayBuffer 和高解析度計時器。與 URL 型掃描器(securityheaders.com、Mozilla Observatory)不同,這個工具接受從 curl -I 或 DevTools 貼上的標頭,所以 VPN 或 localhost 後的內部端點仍可評分而無需暴露它們。
如何使用 HTTP 安全標頭檢查器
執行 curl -sI https://your.endpoint/ 或從 DevTools -> 網路 -> 標頭 -> 回應複製。貼上包含狀態行(HTTP/2 200)的完整區塊。檢查器允許重新導向(301/302/307/308)並為最終回應評分。根據 OWASP 建議值評估每個標頭:通過(符合建議)、警告(存在但較弱——例如 HSTS max-age=300 太短而無效)、失敗(缺失或主動不安全——例如 Access-Control-Allow-Origin: * 用於需認證的端點)。報告將每項發現連結到相關 MDN 文檔和 OWASP 速查表。常見陷阱:同時設定 X-Frame-Options: DENY 和 Content-Security-Policy: frame-ancestors 'none' 是冗餘但不錯誤——frame-ancestors 在現代瀏覽器上勝出,X-Frame-Options 保留供舊版使用。CSP 'unsafe-inline' 在 script-src 中會破壞 XSS 防護政策;即使 CSP 其餘部分穩健也標為失敗。
為什麼 HTTP 安全標頭很重要
缺少安全標頭是滲透測試中最常見的發現,因為它們無形:一個網站可以提供正確的 HTML 但仍因回應標頭錯誤而無法通過稽核。PCI DSS 4.0(2025年3月)、SOC 2 信託服務準則和 ISO 27001:2022 Annex A 8.26 都將缺少 CSP / HSTS / X-Frame-Options 標記為控制漏洞。修復成本是反向代理中的一行(nginx 中 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;、vercel.json 中的一個區塊、Cloudflare Workers 中的三行)——但在稽核員或競爭對手的安全撰文公開之前發現不了。CI 整合的標頭檢查能攔截回歸:某個部署將你的 CSP 從 default-src 'self' 翻轉為 default-src * 因為有人除錯時複製貼上了錯誤的規則。在合併部署 PR 前透過此檢查器執行標頭能捕捉差異。
常見問題
可以貼上 localhost 或 staging headers 嗎?
可以。這個工具本來就是為貼上模式設計,因此您可以檢查 localhost、內部 staging 或任何私人環境的 headers,而不需要公開網址。
為什麼不直接 fetch URL?
許多私人環境根本無法直接抓取,而且也可能暴露內部 endpoint。貼上模式能保持流程私密,同時支援 curl 與瀏覽器 DevTools。
高分是否代表一定安全?
不是。這個工具只會檢查常見 response headers 與已知配置問題,並不等於完整的應用程式安全審核。
把這個工具放進更大的流程裡
這些集合會把常見的後續工具與指南整理成同一條工作路徑。
瀏覽相同標籤
前往其他擁有相同工作流程、格式或用途的工具。