本工具通过分析你粘贴的原始响应头来审计其安全合规性——绝不发起网络请求,因此适用于内网/需鉴权/CORS 受限站点、CI 产物或文档示例。
与 HTTP Headers Analyzer 的区别: 那个工具在线 fetch URL 且只检查头的存在性(布尔)。本工具做更全面的值级深度检查。
检查内容(12 个头,值级):
- Critical(缺失或错误 = 高风险):HSTS(max-age ≥ 31536000、includeSubDomains、preload)、Content-Security-Policy(无 unsafe-inline/unsafe-eval/通配、含 default-src 或 script-src)、X-Content-Type-Options(必须 nosniff)。
- Warning(推荐):X-Frame-Options(DENY/SAMEORIGIN;提示 CSP frame-ancestors 取代它)、Referrer-Policy(非 unsafe-url/no-referrer-when-downgrade)、Permissions-Policy。
- Info(增强隔离加分项):Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy、X-Permitted-Cross-Domain-Policies、Clear-Site-Data、Cache-Control。
输入格式: 原始 HTTP 响应头——每行一个 名称: 值,如 curl -I、浏览器 DevTools Network 标签或 HTTP 转储的输出。状态行(HTTP/1.1 200 OK)和空行会自动跳过。
评级(从 100 扣分):每个 critical −20,每个 warning −8。字母评级 A+ 到 F。每项 Finding 展示当前值、问题所在及可复制的推荐头值。
本工具只检查安全头——不检查信息泄露头(Server/X-Powered-By)或 Cookie 属性。用于上线前加固站点的响应头。