Developer Network Utility
HTTP Header Analyzer
粘贴 HTTP 响应头后,可以一次性检查安全 Header、缓存策略、CORS 设置、内容类型和 Cookie 安全选项。
HTTP Header 输入
请从浏览器开发者工具 Network 面板或 curl -I 输出中复制响应 Header 并粘贴。
请输入响应 Header 后执行分析。
分析结果
根据良好、注意、风险标准检查主要 HTTP Header 是否存在以及配置状态。
解析后的 Header
将输入的响应 Header 以 key-value 形式整理显示。
详细报告
可复制或下载分析结果,用作服务器配置改进检查清单。
请输入 HTTP 响应 Header,然后点击分析 HTTP Header 按钮。
Header 检查项目比较
HTTP Header 包含安全、缓存、CORS、Cookie 策略等与运营质量直接相关的项目。
HSTS、CSP、X-Frame-Options、X-Content-Type-Options 有助于强制 HTTPS、防止点击劫持和减少 MIME 嗅探。
Cache-Control、ETag、Expires 用于判断浏览器缓存和 CDN 缓存策略。
Access-Control-Allow-Origin 和 Set-Cookie 选项对于检查外部请求允许范围和会话安全状态非常重要。
帮助
什么是 HTTP Header Analyzer?
HTTP Header Analyzer 是一个免费的开发者工具,可通过粘贴网站响应 Header 快速检查安全、缓存、CORS、内容类型和 Cookie 安全设置。
可用于检查 Nginx、Apache、Django、Node.js、CDN、反向代理设置,以及部署前是否缺少安全 Header。
主要检查项目
- Strict-Transport-Security:是否强制使用 HTTPS
- Content-Security-Policy:限制脚本、图片和 frame 来源
- X-Frame-Options:帮助防止点击劫持
- X-Content-Type-Options:帮助防止 MIME 类型嗅探
- Referrer-Policy:控制跳转时发送的 referrer 信息范围
- Permissions-Policy:限制浏览器功能权限
- Cache-Control:浏览器缓存策略
- Set-Cookie:检查 Secure、HttpOnly、SameSite 选项
适用场景
- 网站部署前检查是否缺少安全 Header
- 检查 Nginx 或 Apache 响应 Header 设置
- 检查 Django、Node.js、Spring 服务的安全 Header
- CDN 应用后检查缓存策略
- 排查 CORS 错误原因
- 检查 Cookie 安全选项
在哪里可以查看 HTTP Header?
可以在浏览器开发者工具 Network 面板中选择请求后复制 Response Headers,或在终端使用 curl -I https://example.com 命令查看。
HSTS 是否可以无条件启用?
HSTS 是强制使用 HTTPS 的强安全 Header。建议在整个网站和子域名都能稳定通过 HTTPS 访问时启用。错误配置可能会影响仍需 HTTP 的子域名。
没有 CSP 是否危险?
Content-Security-Policy 是有助于缓解 XSS 攻击的重要安全 Header。但应先明确服务中使用的脚本、图片和 CDN 来源,再逐步应用。
Cache-Control 应该如何设置?
图片、CSS、JS 等静态文件通常可以使用较长缓存,而 HTML 或用户专属响应可能需要较短缓存或 no-cache 策略。
Access-Control-Allow-Origin: * 安全吗?
对于公开 API 或静态资源可以使用,但包含认证信息的请求需要谨慎。使用 Cookie 或认证令牌的 API 应明确限制允许的 origin。
Set-Cookie 安全选项为什么重要?
Secure 使 Cookie 仅通过 HTTPS 发送,HttpOnly 限制 JavaScript 访问 Cookie,SameSite 有助于降低 CSRF 风险。
仅使用此工具就能完成安全检查吗?
不能。此工具只是基于粘贴的 HTTP Header 文本进行快速检查的辅助工具。实际安全性还需要同时检查服务器配置、应用代码、认证方式、Cookie 策略和 HTTPS 配置。