HTTP 安全头检查器

网络安全

检查 CSP、HSTS、XFO、Cookie Flags 等响应 Header 安全配置。

本地简单运行

原始响应头

检查项结果与建议

Content-Security-Policy
高通过 default-src self; object-src none; frame-ancestors none
当前配置覆盖了该检查项。

Strict-Transport-Security
高通过 max-age=31536000; includeSubDomains
当前配置覆盖了该检查项。

X-Content-Type-Options
中通过 nosniff
当前配置覆盖了该检查项。

Clickjacking protection
中通过 DENY
当前配置覆盖了该检查项。

Referrer-Policy
低通过 strict-origin-when-cross-origin
当前配置覆盖了该检查项。

Permissions-Policy
低通过 camera=(), microphone=(), geolocation=()
当前配置覆盖了该检查项。

Cross-Origin-Opener-Policy
低需复核缺失
需要跨源隔离或降低 opener 风险时设置 same-origin。

Cross-Origin-Resource-Policy
低需复核缺失
根据资源共享模型设置 same-origin、same-site 或 cross-origin。

Set-Cookie flags
高通过 sid=abc; HttpOnly; Secure; SameSite=Lax
当前配置覆盖了该检查项。

评分用于快速排查，不替代正式安全评审；请结合业务是否允许嵌入、跨源资源和第三方脚本来调整策略。

开始使用