这个工具有问题吗?

关于「HTTP 安全响应头检查 在线」

该工具获取一个 URL 并检查它返回的 HTTP 安全标头:Content-Security-Policy、Strict-Transport-Security、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy 等。工具对响应评分,并解释哪些标头缺失或弱。

安全标头是加固网站的一种廉价有效的方式。它们缓解 XSS、点击劫持、混合内容问题、泄漏的引荐来源以及默认启用的危险浏览器功能。

在启动新站点之前、作为常规审计的一部分,或在将第三方脚本引入生产时使用。具有强大标头的站点在 Mozilla Observatory 和 SecurityHeaders.com 等工具上看起来更值得信赖——两者都是有用的后续。

如何使用这个工具

如何审计网站的 HTTP 安全响应头

  1. 输入页面 URL

    把 https:// 页面填入「Page URL」字段;缺失 scheme 时会自动补全;最长 2048 字符。

  2. 探测过程

    服务器先尝试 HEAD;若源站回 405/501 则回退到 GET。会跟随重定向、丢弃 body,并分析响应头——你的浏览器不参与该请求。

  3. 点击运行

    结果包括 finalUrl(重定向后)、httpStatus、scorePercent(presentCount/totalChecks)与 rows[]——每个被检头都有一行:名称、状态、若存在则附值。

  4. 如何解读分数

    这是被检查安全响应头(CSP、HSTS、X-Frame-Options、Referrer-Policy 等)出现数量的统计,并非完整审计。分数高不代表整体安全——还需逐行核对取值。

相似工具