HTTP 响应头分析

输入网址，获取服务器返回的完整 HTTP 响应头。本工具会自动分析关键的安全配置（Security Headers），并指出潜在的安全风险或隐私泄露问题。

为什么 HTTP 头很重要？

HTTP 响应头不仅告诉浏览器如何处理内容（如缓存、编码），还承担着重要的安全职责。 例如，配置 Strict-Transport-Security 可以强制浏览器使用 HTTPS，配置 X-Frame-Options 可以防止点击劫持攻击。

常见安全头说明

• Strict-Transport-Security (HSTS): 强制客户端（如浏览器）使用 HTTPS 与服务器建立连接，防止中间人攻击。
• Content-Security-Policy (CSP): 限制网页中可以加载的资源（如脚本、图片）来源，有效防御 XSS 攻击。
• X-Frame-Options: 控制网页是否可以被嵌入到 <frame> 或 <iframe> 中，防止点击劫持。
• X-Content-Type-Options: 禁止浏览器嗅探文件类型，强制使用服务器声明的 Content-Type。

常见问题

什么是安全响应头（Security Headers）？

安全响应头是 HTTP 响应头中用于增强网站安全性的头部字段，包括 HSTS、CSP、X-Frame-Options 等。它们可以防御 XSS、点击劫持、中间人攻击等常见 Web 安全威胁。

HSTS 有什么作用？

HSTS（HTTP Strict Transport Security）强制浏览器只使用 HTTPS 访问网站，即使用户输入 http:// 也会自动跳转到 https://。这可以防止 SSL 剥离攻击等中间人攻击。

CSP（Content-Security-Policy）如何防御 XSS 攻击？

CSP 通过白名单机制限制网页可以加载的资源来源（脚本、样式、图片等），即使攻击者注入了恶意代码，如果代码来源不在白名单中，浏览器也不会执行，从而有效防御 XSS 攻击。

X-Frame-Options 和 CSP frame-ancestors 有什么区别？

X-Frame-Options 是较早的 HTTP 头，支持 DENY（禁止嵌入）和 SAMEORIGIN（仅同源嵌入）两个值。CSP 的 frame-ancestors 指令更灵活，支持指定允许嵌入的来源列表。现代浏览器推荐使用 frame-ancestors，但为了兼容性建议两者都设置。