安全头检查器

检查URL缺失或存在风险的安全头(CSP、HSTS、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP),并分析Cookie标志(Secure、HttpOnly、SameSite)。支持跟随重定向至最终目标,导出JSON/PDF报告,并提供可操作的加固建议。

Loading…

关于 安全头检查器

现代Web安全主要依赖HTTP响应头来强制执行。本工具获取URL(可选跟随重定向)并审计关键的加固头部,这些头部可减少XSS、点击劫持、MIME嗅探、不安全传输及跨源隔离问题。同时审查Set-Cookie属性,以发现常见漏洞,如缺失Secure/HttpOnly/SameSite,或SameSite=None但未设置Secure。

功能特点

  • 跟随重定向以审计最终HTTPS目标(推荐用于实际部署环境)。
  • 检查必需的加固头部:内容安全策略、严格传输安全、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy。
  • 检查推荐的现代头部:COOP、COEP、CORP、Origin-Agent-Cluster,以及出现时的其他加固信号。
  • Cookie分析:检查Set-Cookie标志(Secure、HttpOnly、SameSite);对SameSite=None但未设置Secure的情况发出警告。
  • CSP分析:高亮不安全内联、不安全eval、通配符源、缺失的防御性指令(default-src、object-src、base-uri、frame-ancestors)及仅报告模式的注意事项。
  • 标记已弃用或存在风险的头部(如X-XSS-Protection)及信息泄露头部(如Server、X-Powered-By)。
  • 可复制/分享的检查结果,适用于安全审查、渗透测试报告或漏洞工单。
  • 下载JSON或PDF格式报告,用于审计、合规性证据及回归跟踪。

🧭 使用方法 for security-headers-checker

1

粘贴要审计的URL

输入完整URL(建议使用https://…)。工具将评估该端点返回的响应头。

2

启用“跟随重定向”(推荐)

许多网站会进行http→https和非www→www(或反之)的重定向。跟随重定向可审计用户和机器人实际到达的最终目标。

3

选择是否显示原始头部

如需调试原始头部行(适用于CDN、反向代理和框架默认设置),请启用“显示原始头部”。

4

审查结果并优先修复

首先关注传输安全(HSTS)、防XSS(CSP)、点击劫持防护(框架保护)、Cookie标志,以及适用的跨源隔离(COOP/COEP/CORP)。

5

导出报告以便跟踪

下载JSON/PDF格式报告,可附加至工单、随时间比较变更,或将检查加入CI以防止回归。

技术规格

本工具检查内容

检查器专注于现代、高影响力的响应头和用于浏览器强制安全控制的Cookie属性。

领域检查的信号重要性
传输安全严格传输安全(HSTS)强制使用HTTPS,并有助于防止后续访问中的SSL剥离攻击。
XSS缓解内容安全策略(CSP)及常见陷阱限制脚本/样式来源,并在正确配置时减少XSS攻击的影响。
点击劫持X-Frame-Options 和/或 CSP frame-ancestors防止您的页面被其他源嵌入框架。
MIME嗅探X-Content-Type-Options: nosniff阻止浏览器以危险方式猜测内容类型。
Referrer信息泄露Referrer-Policy控制发送到其他站点的Referrer信息量。
权限控制Permissions-Policy在浏览器级别限制强大功能(如摄像头、麦克风、地理位置等)的使用。
跨源隔离COOP / COEP / CORP(及相关策略)高级安全隔离及某些高性能API所必需。
CookiesSet-Cookie标志:Secure、HttpOnly、SameSite正确配置时可降低会话窃取风险并缓解CSRF攻击。
风险/已弃用X-XSS-Protection、Server、X-Powered-By(若存在)已弃用的控制项或可能帮助攻击者的信息泄露。

请求行为与限制

审计在服务器端运行,并可跟随重定向以匹配实际导航行为。

设置行为默认值
跟随重定向跟随重定向,最多不超过上限次数已启用
最大重定向次数启用跟随时的最大重定向次数10
超时请求超时15000 毫秒
用户代理请求标识头Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
私有网络阻止私有网络目标不允许

正确解读结果

“通过”的头部扫描并不等同于“安全”。头部只是一层防护。目标是减少常见问题类别的影响范围,并强制执行更安全的浏览器默认设置。

将此报告作为基线加固检查清单使用。仍需审计身份验证、授权、输入验证、依赖项漏洞和服务器配置。

命令行

使用 curl 来复现检查器的操作,并在调试或 CI 过程中快速验证头部。

macOS / Linux

获取响应头部

curl -I [https://example.com](https://example.com)

显示端点返回的顶层头部。

跟随重定向并显示头部

curl -IL [https://example.com](https://example.com)

用于确认重定向后的最终目标头部。

检查 Set-Cookie 行

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

帮助验证 Secure/HttpOnly/SameSite 属性。

Windows (PowerShell)

获取响应头部

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

在 PowerShell 中打印返回的头部。

务必同时测试您的 HTML 页面和关键 API 端点:它们通常具有不同的中间件堆栈,因此头部设置也不同。

使用场景

Web 应用的安全加固基线

建立最低头部基线,并在部署、代理/CDN 变更或框架升级后捕获缺失的头部。

  • 验证生产环境 HTTPS 上是否存在 HSTS
  • 确保已为认证页面启用点击劫持保护

Cookie 和会话安全审查

验证会话 Cookie 是否随 Secure/HttpOnly/SameSite 发送,并检测常见的配置错误。

  • 捕获 SameSite=None 但未设置 Secure 的情况
  • 确认会话令牌上设置了 HttpOnly

CSP 质量与 XSS 风险降低

识别高风险CSP模式,并优先修复能实质性降低XSS影响的漏洞。

  • 移除unsafe-inline并采用nonce/hash策略
  • 添加frame-ancestors和base-uri以强化默认设置

CDN / 反向代理回归检查

检测CDN、负载均衡器或代理何时剥离或重复标头。

  • 验证安全标头在Cloudflare/Varnish/Nginx变更后是否保留
  • 确保重定向不会在最终目标上丢失HSTS

❓ Frequently Asked Questions

为什么安全标头很重要?

它们强制执行浏览器端的安全控制,减少常见网络攻击(如XSS、点击劫持、混合内容或降级问题)的影响。它们还为Cookie和跨源行为设置了更安全的默认值。

我应该启用“跟随重定向”吗?

通常是的。真实用户和爬虫最终会到达重定向后的最终URL,而那里才是有效标头真正起作用的地方。重定向链可能会隐藏最终目标上缺失的标头。

每个网站都需要CSP吗?

对于有用户会话或动态内容的网站,强烈建议使用。即使是一个基本的CSP也能降低XSS风险,但应仔细测试CSP,以避免破坏脚本和第三方集成。

为什么X-XSS-Protection被标记为已弃用或有风险?

它在现代浏览器中已过时,并且在某些历史案例中可能引发意外行为。应转而关注CSP和安全编码实践。

常见的HSTS错误是什么?

HTTPS上启用了HSTS,但忘记持续提供HTTPS(或在规范主机上遗漏)。另一个常见错误是在未完全满足预加载要求的情况下添加预加载指令。

仅靠标头就能保护我的应用程序吗?

不能。标头是一层加固措施。您仍然需要安全编码、依赖项管理、正确的身份验证/授权以及稳健的服务器配置。

Pro Tips

Best Practice

同时审计着陆页HTML和您的API端点。它们通常有不同的中间件,可能在标头覆盖范围上悄无声息地出现差异。

Best Practice

运行重定向链检查:确认最终目标设置了最强的标头(尤其是HSTS和CSP)。

Best Practice

将Cookie视为安全边界的一部分:会话Cookie的默认设置应为Secure + HttpOnly + 适当的SameSite属性。

Best Practice

对于内容安全策略(CSP),优先移除unsafe-inline/unsafe-eval,并采用随机数或哈希值。这通常是实际安全防护中最显著的提升。

Best Practice

避免泄露服务器细节。在可行的情况下移除或最小化Server / X-Powered-By头信息,以减少指纹识别风险。

Best Practice

在持续集成中添加回归测试,若关键头部信息消失(代理/CDN变更导致的频率常超预期),则阻止部署。

Additional Resources

OWASP安全标头项目
Documentation
MDN:内容安全策略(CSP)
Documentation
MDN:严格传输安全(HSTS)
Documentation
MDN:Set-Cookie
Documentation
MDN:权限策略
Documentation

Other Tools