HTTP头部检查器
分析任意URL的HTTP响应头部、安全配置、重定向链和服务器行为。
什么是HTTP头?
HTTP头是浏览器和Web服务器在每次请求和响应中发送的键值对。它们携带重要的元数据——内容类型、缓存指令、安全策略、认证令牌等。
响应头控制浏览器如何渲染页面、缓存资源和执行安全策略。配置错误的头可能导致性能问题、安全漏洞或功能故障。因此检查头信息是Web开发和服务器管理的核心工作。
常见的头包括 Content-Type (告诉浏览器数据格式)、 Cache-Control (资源缓存时间)和 Set-Cookie (存储会话数据)。
必备安全头
安全头告诉浏览器在处理你网站内容时应如何行为。缺少安全头会使用户容易受到跨站脚本、点击劫持和数据注入等攻击。
Strict-Transport-Security (HSTS)
告诉浏览器即使用户输入http://也只通过HTTPS连接。防止SSL剥离攻击。 max-age=31536000; includeSubDomains
Content-Security-Policy (CSP)
最强大的安全头。定义脚本、样式、图片等资源的批准来源。阻止内联脚本和未授权的外部内容,大幅增加XSS攻击的难度。
X-Content-Type-Options
设置为 nosniff 可防止浏览器猜测MIME类型。否则浏览器可能将上传的文件当作脚本执行。
Referrer-Policy
控制离开你网站时共享多少URL信息。 strict-origin-when-cross-origin 是一个好的默认值——对跨域请求发送来源,对同源请求发送完整URL。