Security.txt 检查工具

🔍 检查任何公开 URL 的 HTTP 响应头部,即时获取安全、性能和 SEO 洞察。一目了然地查看 CSP、HSTS、Cookie、CORS、缓存和重定向行为 – 无需登录、无需 API 密钥、无需安装。

Loading…

关于 在线 HTTP 头部分析器

粘贴一个 URL,本工具将获取其 HTTP 响应头部,按用途(安全、性能、SEO)分组,计算简单评分,并突出显示问题、警告和建议。非常适合开发人员、SEO 专家、DevOps 和安全审查,当您想要快速、直观的“头部完整性检查”而无需启动完整的扫描器时。

此 HTTP 头部工具的功能

  • 将头部分类为安全、性能、SEO、已弃用和其他组,以便更快地扫描
  • 计算整体、安全、性能和 SEO 头部的简单评分,一目了然地显示您的状况
  • 高亮显示安全头部,如 CSP、HSTS、Referrer-Policy、X-Frame-Options、COOP/COEP/CORP 和 Origin-Agent-Cluster
  • 分析 Set-Cookie 标志,以发现缺失的 Secure、HttpOnly 或 SameSite 属性
  • 检测已弃用或有风险的头部,例如 X-XSS-Protection、X-Powered-By 和泄露实现细节的 Server 标识
  • 帮助调整性能头部,如 Cache-Control、Content-Encoding、ETag、Last-Modified 和 Server-Timing
  • 显示 SEO 相关头部,如 Link (canonical/alternate) 和 X-Robots-Tag,以及存在的 Content-Language
  • 无需账户、无需 API 密钥 – 只需粘贴一个公开 URL,检查头部并迭代您的配置

🛠️ 如何使用 HTTP 头部查看器 for security-txt-checker

1

1. 输入 URL

🔗 将任何有效的 HTTP 或 HTTPS URL 粘贴到输入框中。公共端点或公开暴露的 API 效果最佳。

2

2. 获取头部信息

🌐 后端会请求该 URL 并收集响应头,在可能的情况下遵循重定向。仅检查头部信息和基本元数据——不包含完整的 HTML 正文。

3

3. 查看分类与评分

🧠 头部信息被分组到安全、性能、SEO、Cookie、已弃用和其他类别中。该工具会根据您的头部配置得出评分、问题、警告和建议。

4

4. 修复并重新测试

🔁 调整您的服务器、CDN 或反向代理配置,然后重新运行检查,直到评分和警告符合您的目标。每当您调整基础设施时,都可以将其用作快速反馈循环。

技术细节

请求与响应处理

该工具专注于响应头和基本连接元数据,而非完整的页面内容。

方面行为备注
HTTP 方法HEAD 或 GET(取决于具体实现)仅检查头部;除非需要 GET 回退,否则忽略正文。
重定向在可用时记录重定向链有助于调试 301/302 链、规范目标和配置错误的跳转。
HTTP 版本在提供时捕获有助于识别 HTTP/1.1 与 HTTP/2/3 设置以及潜在的升级机会。
服务器标识从 Server 头部读取用于警告潜在的信息泄露(框架、版本)。
错误处理错误字段单独显示如果获取失败,您仍会得到一个可读的错误状态,而不是崩溃。

头部分类与分析

头部信息经过标准化,然后被分析到具有专门检查和提示的类型化类别中。

类别典型头部检查项与洞察
安全内容安全策略、严格传输安全、X-Frame-Options、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP、Origin-Agent-Cluster验证存在性,标记薄弱或缺失的指令,检测不安全的CSP模式及开发环境来源。
性能Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Link(预加载/预获取)、Server-Timing检查缓存提示、压缩、字节范围支持及与性能相关的Link头部。
SEOLink(规范/备用)、X-Robots-Tag、Content-Language检测头部层级的规范/备用提示与机器人指令,以及存在的语言元数据。
CookiesSet-Cookie扫描Secure、HttpOnly、SameSite属性,并在标志缺失或看似薄弱时发出警告。
已弃用X-XSS-Protection、Public-Key-Pins、旧版CSP变体标记应被移除或替换为现代替代方案的头部。

评分模型

评分为启发式,并非完整的安全审计,但有助于确定工作优先级和比较不同环境。

分数衡量内容计算方式
总体分数通用头部规范性基于所有权重头部的比率——主要为存在性检查并辅以轻度加权。
安全分数安全相关强化措施加权CSP、HSTS、框架控制、Referrer-Policy、Permissions-Policy、COOP/COEP/CORP及Origin-Agent-Cluster。
性能分数缓存与传输效率加权Cache-Control、Content-Encoding、ETag、Last-Modified、Accept-Ranges、Server-Timing及与性能相关的Link使用情况。
SEO分数头部层级的SEO信号加权X-Robots-Tag、规范/备用Link头部以及存在的Content-Language。

用于头部检查的CLI替代方案

偏好终端或将头部检查集成到CI/CD中?可将以下命令作为本工具的本地配套使用:

Linux/macOS

使用curl查看响应头部

curl -I https://example.com

发送HEAD请求并打印响应头部,用于快速完整性检查。

包含头部与TLS协商的详细输出

curl -v https://example.com

在调试重定向、TLS配置和连接详情时非常有用。

Windows (PowerShell)

使用 Invoke-WebRequest 获取并检查头部信息

(Invoke-WebRequest -Uri https://example.com).Headers

将头部信息显示为PowerShell对象,便于进一步筛选或脚本处理。

实际应用场景

安全头部审查

  • 检查关键端点是否缺少CSP、HSTS、Referrer-Policy或Permissions-Policy头部。
  • 检测不安全的CSP指令,例如缺少随机数或哈希值的'unsafe-inline'。
  • 发现缺少Secure或SameSite属性的Cookie,并规划会话加固的修复方案。

性能与缓存诊断

  • 检查静态和动态路由的Cache-Control、ETag和Content-Encoding配置。
  • 验证是否存在性能提示,例如来自CDN的preload或preconnect Link头部。
  • 比较测试、预览和生产环境之间的性能相关头部。

SEO与重定向链分析

  • 检查301/302重定向链,确认最终着陆页URL是规范且安全的。
  • 检查HTML页面或本地化版本上的canonical和alternate Link头部。
  • 验证X-Robots-Tag指令,用于索引控制、摘要行为和媒体处理。

❓ Frequently Asked Questions

什么是HTTP响应头部?为什么它们很重要?

HTTP响应头部是服务器在发送正文前传输的键值对。它们控制缓存、安全策略、重定向、CORS、Cookie,以及浏览器和爬虫如何解析您的网站。正确配置它们对安全性、性能和SEO至关重要。

🔒我测试的URL会被存储吗?

本工具设计为仅将URL用于执行查询和进行页面分析,不会将其作为长期档案保存。与任何在线工具一样,请避免测试极其敏感、不应公开的内部端点。

🧪可以用它来检查API响应吗?

可以,只要API端点能从发起请求的服务器公开访问。这对于检查JSONXML APICORS头部、速率限制提示、缓存行为和内容类型特别有用。

🕵️‍♂️它适用于需要认证的页面吗?

通常不行。需要登录会话、VPN或特殊头部的端点,不会对通用请求返回有意义的结果。对于私有资源,请使用浏览器开发者工具或经过认证的脚本。

📈这个评分是完整的安全审计吗?

不是。该评分是一种启发式方法,帮助您快速发现缺失或薄弱的头部。它不能替代渗透测试、漏洞扫描或手动安全审查,但它是很好的初步完整性检查工具,也适用于不同环境间的比较。

Pro Tips

Best Practice

对比测试、预览和生产环境中的头部信息,以发现某个环境中缺失的安全加固或缓存规则。

Best Practice

将 Server 和 X-Powered-By 头部视为信息泄露——在生产环境中尽可能移除或最小化它们。

Best Practice

首先为静态资源调整 Cache-Control 和 Content-Encoding——它们通常能以最小风险带来最大的性能提升。

Best Practice

在每次重大基础设施变更(CDN、反向代理、TLS卸载、新主机)后运行此工具,以确认头部信息仍然正确。

Additional Resources

MDN: HTTP头部参考
Documentation
OWASP 安全头部项目
Documentation

Other Tools