Trình kiểm tra HTTP header
Kiểm tra header phản hồi và chính sách bảo mật của bất kỳ URL nào. Kiểm tra HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy cùng Server, Content-Type, Cache-Control chỉ trong một cú click.
Nhập một URL công khai. Máy chủ của chúng tôi tải nó một lần và trả về header phản hồi — không có body, không thực thi JavaScript.
Cần xem xét gì
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Trường hợp sử dụng phổ biến
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Gỡ lỗi chuỗi chuyển hướng — dán URL chiến dịch hoặc liên kết rút gọn và theo dõi mọi bước 301/302 cho đến trang đích cuối cùng, cùng với URL trình duyệt thực sự tải.
- 3Xác nhận cấu hình cache và CDN — Cache-Control, ETag, Age và CF-Cache-Status tiết lộ tài nguyên được phục vụ từ origin, edge cache hay stale revalidate.
Câu hỏi thường gặp
What's a good security header score?+
Trang web hiện đại nên gửi ít nhất HSTS, CSP, X-Frame-Options hoặc frame-ancestors trong CSP, X-Content-Type-Options: nosniff và Referrer-Policy. Permissions-Policy ngày càng được mong đợi.
Trang của tôi không có header nào trong số đó — có tệ không?+
Đó là một cơ hội bị bỏ lỡ, không phải lúc nào cũng khẩn cấp. Thêm HSTS trước để khóa trang ở HTTPS. Sau đó là Referrer-Policy nghiêm ngặt. CSP là phòng thủ mạnh nhất nhưng cần lập kế hoạch nhiều nhất.
Tại sao một số trang ẩn header Server?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.