HTTP 头部查看器

最多跟随 10 次重定向

关于 在线 HTTP 头部分析器

粘贴一个 URL,此工具将获取其 HTTP 响应头部,按用途(安全、性能、SEO)分组,计算简单评分,并显示问题、警告和建议。非常适合开发人员、SEO 专家、DevOps 和安全审查,当您需要快速、直观的“头部健康检查”而无需启动完整扫描器时。

此 HTTP 头部工具的功能

  • 将头部分类为安全、性能、SEO、已弃用和其他组,以便快速扫描
  • 计算整体、安全、性能和 SEO 头部的简单评分,一目了然地显示您的状况
  • 高亮显示安全头部,如 CSP、HSTS、Referrer-Policy、X-Frame-Options、COOP/COEP/CORP 和 Origin-Agent-Cluster
  • 分析 Set-Cookie 标志,发现缺少 Secure、HttpOnly 或 SameSite 属性
  • 检测已弃用或有风险的头部,如 X-XSS-Protection、X-Powered-By 和泄露实现细节的 Server 标识
  • 帮助调整性能头部,如 Cache-Control、Content-Encoding、ETag、Last-Modified 和 Server-Timing
  • 显示 SEO 相关头部,如 Link (canonical/alternate) 和 X-Robots-Tag,以及存在的 Content-Language
  • 无需账户、无需 API 密钥 – 只需粘贴公开 URL,检查头部并迭代您的配置

🛠️ 如何使用 HTTP 头部查看器 for http-headers-viewer

1

1. 输入 URL

🔗 将任何有效的 HTTP 或 HTTPS URL 粘贴到输入框中。公共端点或公开暴露的 API 效果最佳。

2

2. 获取头部信息

🌐 后端请求该 URL 并收集响应头部,尽可能跟随重定向。仅检查头部和基本元数据——不涉及完整的 HTML 正文。

3

3. 查看分类与评分

🧠 头部被分组为安全、性能、SEO、Cookie、已弃用及其他类别。工具根据您的头部配置得出评分、问题、警告和建议。

4

4. 修复并重新测试

🔁 调整您的服务器、CDN 或反向代理配置,然后重新运行检查,直到评分和警告符合您的目标。每当您调整基础设施时,可将其用作快速反馈循环。

技术细节

请求与响应处理

该工具专注于响应头部和基本连接元数据,而非完整页面内容。

方面行为备注
HTTP 方法HEAD 或 GET(取决于实现)仅检查头部;除非需要 GET 回退,否则忽略正文。
重定向记录可用的重定向链有助于调试 301/302 链、规范目标和配置错误的跳转。
HTTP 版本在提供时捕获帮助识别 HTTP/1.1 与 HTTP/2/3 设置及潜在的升级机会。
服务器标识从 Server 头部读取用于警告潜在的信息泄露(框架、版本)。
错误处理错误字段单独显示如果获取失败,您仍会获得可读的错误状态,而非崩溃。

头部分类与分析

头部被标准化后,通过专用检查和提示分析到类型化分类中。

类别典型头部检查与洞察
安全内容安全策略、严格传输安全、X-Frame-Options、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP、Origin-Agent-Cluster验证存在性,标记弱或缺失的指令,检测不安全的CSP模式和开发源。
性能Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Link(预加载/预获取)、Server-Timing检查缓存提示、压缩、字节范围支持及与性能相关的Link头部。
SEOLink(规范/备用)、X-Robots-Tag、Content-Language在头部级别检测规范/备用提示和机器人指令,以及存在的语言元数据。
CookiesSet-Cookie扫描Secure、HttpOnly、SameSite属性,并在标志缺失或看起来较弱时发出警告。
已弃用X-XSS-Protection、Public-Key-Pins、旧版CSP变体标记应移除或替换为现代替代方案的头部。

评分模型

评分是启发式的,并非完整的安全审计,但有助于优先处理工作并比较环境。

分数衡量内容计算方式
总体分数通用头部卫生所有加权头部的比率——主要基于存在性,带有轻微权重。
安全分数安全相关强化加权CSP、HSTS、框架控制、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP和Origin-Agent-Cluster。
性能分数缓存与传输效率加权Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Server-Timing及与性能相关的Link使用。
SEO分数头部级别SEO信号加权X-Robots-Tag、规范/备用Link头部和存在的Content-Language。

命令行替代方案用于头部检查

更喜欢终端或将头部检查集成到CI/CD中?使用这些命令作为此工具的本地伴侣:

Linux/macOS

使用curl查看响应头部

curl -I https://example.com

发送HEAD请求并打印响应头部以进行快速完整性检查。

包含头部和TLS协商的详细输出

curl -v https://example.com

在调试重定向、TLS配置和连接详情时非常有用。

Windows (PowerShell)

使用Invoke-WebRequest获取并检查头部信息

(Invoke-WebRequest -Uri https://example.com).Headers

将头部显示为PowerShell对象,便于进一步筛选或编写脚本。

实际应用场景

安全头部审查

  • 检查关键端点是否缺少CSP、HSTS、Referrer-Policy或Permissions-Policy头部。
  • 检测不安全的CSP指令,如未使用nonce或哈希的'unsafe-inline'。
  • 发现缺少Secure或SameSite属性的Cookie,并规划会话加固的修复方案。

性能与缓存诊断

  • 检查静态和动态路由的Cache-Control、ETag和Content-Encoding配置。
  • 验证是否存在性能提示,如来自CDN的preload或preconnect Link头部。
  • 比较测试、预览和生产环境中与性能相关的头部。

SEO与重定向链分析

  • 检查301/302重定向链,确认最终着陆URL是规范且安全的。
  • 检查HTML页面或本地化版本上的canonical和alternate Link头部。
  • 验证X-Robots-Tag指令,用于索引、摘要行为和媒体处理。

❓ Frequently Asked Questions

什么是HTTP响应头部?它们为何重要?

HTTP响应头部是服务器在发送正文前传输的键值对。它们控制缓存、安全策略、重定向、CORS、Cookie以及浏览器和爬虫如何解析您的网站。正确设置它们对安全性、性能和SEO至关重要。

🔒我测试的URL会被存储吗?

本工具设计为仅使用URL执行查询和进行页面分析,不会将其作为长期配置文件保存。与任何在线工具一样,请避免测试极其敏感且不应暴露的内部端点。

🧪能否用此工具检查API响应?

可以,只要API端点可从发起请求的服务器公开访问。这对于检查JSONXML APICORS头部、速率限制提示、缓存行为和内容类型特别有用。

🕵️‍♂️它适用于需要认证的页面吗?

通常不行。需要登录会话、VPN或特殊头部的端点无法通过通用请求返回有意义的结果。对于私有资源,请使用浏览器开发者工具或认证脚本。

📈评分是否等同于完整的安全审计?

不是。评分是一种启发式方法,帮助您快速发现缺失或薄弱的头部。它不能替代渗透测试、漏洞扫描或手动安全审查,但作为初步的健全性检查和环境间比较工具非常有效。

Pro Tips

Best Practice

比较暂存、预览和生产环境之间的头部信息,以发现某一环境中缺失的安全加固或缓存规则。

Best Practice

将 Server 和 X-Powered-By 头部视为信息泄露——在生产环境中尽可能移除或最小化它们。

Best Practice

首先针对静态资源调整 Cache-Control 和 Content-Encoding——它们通常能以最小风险带来最大的性能提升。

Best Practice

在每次重大基础设施变更(CDN、反向代理、TLS 卸载、新主机)后运行此工具,以确认头部配置仍然正确。

Additional Resources

MDN:HTTP头部参考
Documentation
OWASP 安全头部项目
Documentation

Other Tools