Công cụ Kiểm tra Tiêu đề Bảo mật

Kiểm tra URL để phát hiện các tiêu đề bảo mật bị thiếu hoặc có rủi ro (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) và phân tích các cờ cookie (Secure, HttpOnly, SameSite). Theo dõi chuyển hướng đến đích cuối cùng, xuất báo cáo JSON/PDF và nhận các khuyến nghị củng cố có thể thực hiện.

Loading…

Giới thiệu Công Cụ Kiểm Tra Tiêu Đề Bảo Mật

Bảo mật web hiện đại phần lớn được thực thi bởi các tiêu đề phản hồi HTTP. Công cụ này tìm nạp một URL (tùy chọn theo dõi chuyển hướng) và kiểm tra các tiêu đề củng cố chính giúp giảm thiểu các vấn đề XSS, clickjacking, sniffing MIME, truyền tải không an toàn và cô lập chéo nguồn gốc. Nó cũng xem xét các thuộc tính Set-Cookie để phát hiện các lỗ hổng phổ biến như thiếu Secure/HttpOnly/SameSite, hoặc SameSite=None mà không có Secure.

Tính năng

  • Theo dõi chuyển hướng để kiểm tra đích HTTPS cuối cùng (được khuyến nghị cho các triển khai thực tế).
  • Kiểm tra các tiêu đề củng cố bắt buộc: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Kiểm tra các tiêu đề hiện đại được khuyến nghị: COOP, COEP, CORP, Origin-Agent-Cluster và các tín hiệu củng cố bổ sung khi có.
  • Phân tích cookie cho các cờ Set-Cookie: Secure, HttpOnly, SameSite; cảnh báo về SameSite=None mà không có Secure.
  • Phân tích CSP: làm nổi bật unsafe-inline, unsafe-eval, nguồn ký tự đại diện, các chỉ thị phòng thủ bị thiếu (default-src, object-src, base-uri, frame-ancestors) và các lưu ý chỉ báo cáo.
  • Đánh dấu các tiêu đề lỗi thời hoặc có rủi ro (ví dụ: X-XSS-Protection) và các tiêu đề rò rỉ thông tin (ví dụ: Server, X-Powered-By).
  • Sao chép/chia sẻ phát hiện cho các đánh giá bảo mật, báo cáo pentest hoặc phiếu lỗi.
  • Tải báo cáo dưới dạng JSON hoặc PDF để kiểm tra, bằng chứng tuân thủ và theo dõi hồi quy.

🧭 Cách sử dụng for security-headers-checker

1

Dán URL bạn muốn kiểm tra

Nhập URL đầy đủ (tốt nhất là https://…). Công cụ đánh giá các tiêu đề phản hồi được trả về bởi điểm cuối đó.

2

Bật “Theo Dõi Chuyển Hướng” (được khuyến nghị)

Nhiều trang web chuyển hướng http→https và non-www→www (hoặc ngược lại). Theo dõi chuyển hướng giúp kiểm tra đích cuối cùng mà người dùng và bot thực sự truy cập.

3

Chọn có hiển thị tiêu đề thô hay không

Bật “Hiển Thị Tiêu Đề Thô” nếu bạn muốn xem các dòng tiêu đề gốc để gỡ lỗi (rất hữu ích cho CDN, reverse proxy và các giá trị mặc định của framework).

4

Xem xét phát hiện và ưu tiên sửa chữa

Tập trung trước tiên vào bảo mật truyền tải (HSTS), chống XSS (CSP), bảo vệ khung (frame protections), cờ cookie và cô lập chéo nguồn gốc (COOP/COEP/CORP) khi có thể áp dụng.

5

Xuất báo cáo để theo dõi

Tải xuống JSON/PDF để đính kèm vào phiếu, so sánh thay đổi theo thời gian hoặc thêm kiểm tra vào CI để phát hiện hồi quy.

Thông số kỹ thuật

Công cụ này kiểm tra những gì

Công cụ kiểm tra tập trung vào các tiêu đề phản hồi hiện đại, có tác động cao và các thuộc tính cookie được sử dụng cho các biện pháp kiểm soát bảo mật được trình duyệt thực thi.

Lĩnh vựcTín hiệu được kiểm traTại sao nó quan trọng
Bảo mật truyền tảiStrict-Transport-Security (HSTS)Bắt buộc HTTPS và giúp ngăn chặn tấn công SSL stripping trong các lần truy cập tiếp theo.
Giảm thiểu XSSContent-Security-Policy (CSP) + các lỗi phổ biếnHạn chế nguồn script/kiểu và giảm tác động của XSS khi được cấu hình đúng.
ClickjackingX-Frame-Options và/hoặc CSP frame-ancestorsNgăn chặn trang của bạn bị đóng khung bởi các nguồn gốc khác.
Phát hiện MIMEX-Content-Type-Options: nosniffNgăn trình duyệt đoán kiểu nội dung theo cách rủi ro.
Rò rỉ tham chiếuReferrer-PolicyKiểm soát lượng thông tin tham chiếu được gửi đến các trang web khác.
Kiểm soát quyềnPermissions-PolicyHạn chế các tính năng mạnh (camera, mic, định vị, v.v.) ở cấp độ trình duyệt.
Cách ly nguồn gốc chéoCOOP / COEP / CORP (và liên quan)Cần thiết cho cách ly bảo mật nâng cao và một số API hiệu suất cao.
CookiesCờ Set-Cookie: Secure, HttpOnly, SameSiteGiảm rủi ro trộm phiên và giảm thiểu CSRF khi được cấu hình đúng.
Rủi ro/đã lỗi thờiX-XSS-Protection, Server, X-Powered-By (khi có)Các điều khiển đã lỗi thời hoặc rò rỉ thông tin có thể hỗ trợ kẻ tấn công.

Hành vi và giới hạn yêu cầu

Kiểm tra chạy phía máy chủ và có thể theo dõi chuyển hướng để khớp với hành vi điều hướng thực tế.

Cài đặtHành viMặc định
Theo dõi Chuyển hướngTheo dõi tối đa một số lượng chuyển hướng được giới hạnĐã bật
Số Chuyển hướng Tối đaSố chuyển hướng tối đa khi tính năng theo dõi được bật10
Thời gian chờThời gian chờ yêu cầu15000 ms
User-AgentTiêu đề nhận diện yêu cầuEncode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Mạng riêng tưChặn các mục tiêu mạng riêngKhông được phép

Diễn giải kết quả chính xác

Một lượt quét tiêu đề “đạt” không đồng nghĩa với “bảo mật”. Tiêu đề chỉ là một lớp. Mục tiêu là giảm thiểu phạm vi ảnh hưởng của các lớp lỗi phổ biến và áp dụng các mặc định trình duyệt an toàn hơn.

Sử dụng báo cáo này như một danh sách kiểm tra tăng cường cơ bản. Vẫn cần kiểm tra xác thực, ủy quyền, xác thực đầu vào, lỗ hổng phụ thuộc và cấu hình máy chủ.

Dòng lệnh

Sử dụng curl để mô phỏng những gì công cụ kiểm tra thực hiện và xác thực tiêu đề nhanh chóng trong quá trình gỡ lỗi hoặc CI.

macOS / Linux

Truy xuất tiêu đề phản hồi

curl -I [https://example.com](https://example.com)

Hiển thị các tiêu đề cấp cao nhất được trả về bởi điểm cuối.

Theo dõi chuyển hướng và hiển thị tiêu đề

curl -IL [https://example.com](https://example.com)

Hữu ích để xác nhận tiêu đề điểm đến cuối cùng sau khi chuyển hướng.

Kiểm tra các dòng Set-Cookie

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Giúp xác minh các thuộc tính Secure/HttpOnly/SameSite.

Windows (PowerShell)

Truy xuất tiêu đề phản hồi

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

In các tiêu đề được trả về trong PowerShell.

Luôn kiểm tra cả trang HTML và các điểm cuối API quan trọng: chúng thường có các ngăn xếp middleware khác nhau và do đó có các bộ tiêu đề khác nhau.

Trường hợp sử dụng

Cơ sở tăng cường bảo mật cho ứng dụng web

Thiết lập cơ sở tiêu đề tối thiểu và phát hiện các tiêu đề bị thiếu sau khi triển khai, thay đổi proxy/CDN hoặc nâng cấp framework.

  • Xác minh HSTS có mặt trên HTTPS sản xuất
  • Đảm bảo bảo vệ chống clickjacking được bật cho các trang đã xác thực

Đánh giá an toàn cookie và phiên

Xác thực rằng cookie phiên được gửi với Secure/HttpOnly/SameSite và phát hiện các cấu hình sai phổ biến.

  • Phát hiện SameSite=None mà không có Secure
  • Xác nhận HttpOnly được đặt trên token phiên

Chất lượng CSP và giảm thiểu rủi ro XSS

Xác định các mẫu CSP rủi ro cao và ưu tiên sửa lỗi nhằm giảm thiểu đáng kể tác động của XSS.

  • Loại bỏ unsafe-inline và áp dụng chiến lược nonce/hash
  • Thêm frame-ancestors và base-uri để có mặc định mạnh mẽ hơn

Kiểm tra hồi quy CDN / reverse proxy

Phát hiện khi CDN, bộ cân bằng tải hoặc proxy loại bỏ hoặc nhân đôi tiêu đề.

  • Xác minh các tiêu đề bảo mật tồn tại sau các thay đổi Cloudflare/Varnish/Nginx
  • Đảm bảo chuyển hướng không làm mất HSTS tại điểm đến cuối cùng

❓ Frequently Asked Questions

Tại sao tiêu đề bảo mật lại quan trọng?

Chúng thực thi các biện pháp kiểm soát bảo mật phía trình duyệt, giúp giảm tác động của các cuộc tấn công web phổ biến như XSS, clickjacking và các vấn đề nội dung hỗn hợp hoặc hạ cấp. Chúng cũng thiết lập các mặc định an toàn hơn cho cookie và hành vi chéo nguồn.

Tôi có nên bật “Theo dõi Chuyển hướng” không?

Thường là có. Người dùng thực và trình thu thập thông tin sẽ đến URL cuối cùng sau các lần chuyển hướng, và đó là nơi các tiêu đề hiệu quả quan trọng. Chuỗi chuyển hướng có thể che giấu các tiêu đề bị thiếu tại điểm đến cuối cùng.

CSP có bắt buộc cho mọi trang web không?

Nó được khuyến nghị mạnh mẽ cho các trang web có phiên người dùng hoặc nội dung động. Ngay cả một CSP cơ bản cũng có thể giảm rủi ro XSS, nhưng CSP cần được kiểm tra cẩn thận để tránh làm hỏng tập lệnh và tích hợp của bên thứ ba.

Tại sao X-XSS-Protection bị đánh dấu là lỗi thời hoặc rủi ro?

Nó đã lỗi thời trong các trình duyệt hiện đại và trong một số trường hợp lịch sử có thể gây ra hành vi không mong muốn. Thay vào đó, hãy tập trung vào CSP và các thực hành mã hóa an toàn.

Sai lầm phổ biến với HSTS là gì?

Bật HSTS trên HTTPS nhưng quên cung cấp HTTPS một cách nhất quán (hoặc thiếu nó trên máy chủ chính). Một sai lầm phổ biến khác là thêm chỉ thị tải trước mà không đáp ứng đầy đủ các yêu cầu tải trước.

Chỉ riêng tiêu đề có thể bảo mật ứng dụng của tôi không?

Không. Tiêu đề là một lớp củng cố. Bạn vẫn cần mã hóa an toàn, quản lý phụ thuộc, xác thực/ủy quyền chính xác và cấu hình máy chủ mạnh mẽ.

Pro Tips

Best Practice

Kiểm tra cả HTML trang đích và các điểm cuối API của bạn. Chúng thường có phần mềm trung gian khác nhau và có thể âm thầm phân kỳ về phạm vi tiêu đề.

CI Tip

Chạy kiểm tra chuỗi chuyển hướng: xác nhận điểm đến cuối cùng thiết lập các tiêu đề mạnh nhất (đặc biệt là HSTS và CSP).

Best Practice

Coi cookie như một phần của chu vi bảo mật: Secure + HttpOnly + SameSite phù hợp nên là mặc định cho cookie phiên.

Best Practice

Với CSP, ưu tiên loại bỏ unsafe-inline/unsafe-eval và áp dụng nonce hoặc hash. Đây thường là lợi ích bảo mật thực tế lớn nhất.

Best Practice

Tránh rò rỉ thông tin máy chủ. Loại bỏ hoặc giảm thiểu Server / X-Powered-By khi có thể để giảm nguy cơ nhận diện.

CI Tip

Thêm bài kiểm tra hồi quy trong CI để ngăn triển khai nếu các tiêu đề quan trọng biến mất (thay đổi proxy/CDN gây ra điều này thường xuyên hơn mọi người nghĩ).

Additional Resources

Dự án Tiêu đề Bảo mật OWASP
Documentation
MDN: Chính sách Bảo mật Nội dung (CSP)
Documentation
MDN: Strict-Transport-Security (HSTS)
Documentation
MDN: Set-Cookie
Documentation
MDN: Permissions-Policy
Documentation

Other Tools

Công Cụ Kiểm Tra Tiêu Đề Bảo Mật — kiểm tra CSP, HSTS, cookie và củng cố tiêu đề | Encode64