🌐 HTTP 头检查工具
输入网址查看 HTTP 响应头信息,检测 CSP、HSTS、X-Frame-Options 等安全相关头部配置。提供安全评分和优化建议,帮助提升网站安全性。工具纯浏览器端运行。
github.com
google.com
stackoverflow.com
由于浏览器的 CORS(跨域)安全策略限制,部分服务器不允许跨域获取响应头。工具通过 fetch API 的 mode: 'cors' 尝试获取,若服务器未设置允许跨域,则无法读取。这是浏览器端的正常安全限制。
CSP(Content Security Policy,内容安全策略)是一个重要的 HTTP 安全头,用于防止 XSS(跨站脚本攻击)和数据注入攻击。通过指定可信的源和脚本加载策略,限制浏览器加载和执行的内容。
HSTS(HTTP Strict Transport Security,严格传输安全)强制浏览器使用 HTTPS 而非 HTTP 访问网站,避免中间人攻击。启用 HSTS 后,浏览器会自动将所有 HTTP 请求转换为 HTTPS。