HTTP 安全標頭檢查器
貼上原始 response headers 或 curl -I 輸出,即可在本地檢查 CSP、HSTS、COOP 等常見安全標頭。
貼上原始 response headers 或 curl -I 輸出。如果包含 redirect chain,系統會以最後一個 response 區塊評分。
貼上原始 HTTP response headers 或 curl -I 輸出
什麼是 HTTP 安全標頭檢查器?
HTTP 安全標頭檢查器根據 OWASP 安全最佳實踐分析回應標頭,並以 0-100 分評分。它評估 Content-Security-Policy(CSP)、Strict-Transport-Security(HSTS)、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy 以及跨來源標頭,包括 COOP、COEP 和 CORP。與擷取公開 URL 的線上掃描器不同,這個工具以貼上模式運作——你從 curl -I 輸出、瀏覽器開發者工具或反向代理日誌中複製原始標頭並直接貼入檢查器。這種設計非常適合 localhost 開發伺服器、VPN 後的測試環境、內部 API 和任何不可公開存取的端點。不會擷取 URL、不會暴露端點,標頭資料也不會離開你的瀏覽器。
如何使用 HTTP 安全標頭檢查器
對你的目標 URL 執行 curl -I 或從瀏覽器開發者工具的網路分頁複製回應標頭。將原始標頭貼到輸入欄位——工具接受包含狀態行的完整 curl 輸出。點擊「分析標頭」生成安全報告。每個標頭以通過、警告或失敗評分,並附帶說明。如果你的貼上內容包含多個回應區塊(例如來自重新導向鏈),檢查器會為最終回應評分。查看未通過的檢查,更新你的伺服器設定,然後貼上新標頭重新測試。
為什麼 HTTP 安全標頭很重要
安全標頭是抵禦 XSS、點擊劫持、MIME 嗅探和資料注入攻擊的第一道防線。OWASP 將缺少安全標頭列為 Web 應用程式中常見的錯誤設定。缺少 Content-Security-Policy 讓注入的腳本自由執行。沒有 HSTS,使用者可以透過中間人攻擊被降級到 HTTP。缺少 X-Frame-Options 會啟用點擊劫持。安全稽核、滲透測試和合規框架(PCI DSS、SOC 2)都會檢查這些標頭。將標頭檢查整合到你的 CI/CD 流水線——從測試部署匯出標頭、在此處貼上、驗證分數——能在回歸問題到達正式環境之前攔截它們。
常見問題
可以貼上 localhost 或 staging headers 嗎?
可以。這個工具本來就是為貼上模式設計,因此您可以檢查 localhost、內部 staging 或任何私人環境的 headers,而不需要公開網址。
為什麼不直接 fetch URL?
許多私人環境根本無法直接抓取,而且也可能暴露內部 endpoint。貼上模式能保持流程私密,同時支援 curl 與瀏覽器 DevTools。
高分是否代表一定安全?
不是。這個工具只會檢查常見 response headers 與已知配置問題,並不等於完整的應用程式安全審核。
把這個工具放進更大的流程裡
這些集合會把常見的後續工具與指南整理成同一條工作路徑。
瀏覽相同標籤
前往其他擁有相同工作流程、格式或用途的工具。