HTTP 响应头检查器
检查任意 URL 的响应头与安全策略。一键查看 HSTS、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options、Referrer-Policy,以及 Server、Content-Type、Cache-Control。
输入一个公开 URL。我们的服务器仅获取一次并返回响应头 — 不返回正文,也不执行 JavaScript。
应当关注什么
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
常见用例
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2调试重定向链 — 粘贴营销 URL 或短链,跟踪每一次 301/302 跳转直到最终落地页,并查看浏览器实际加载的最终 URL。
- 3确认缓存与 CDN 配置 — Cache-Control、ETag、Age 和 CF-Cache-Status 可揭示资源来自源站、边缘缓存还是 stale revalidate。
常见问题
What's a good security header score?+
现代网站至少应发送 HSTS、CSP、X-Frame-Options 或 CSP 中的 frame-ancestors、X-Content-Type-Options: nosniff 以及 Referrer-Policy。Permissions-Policy 也越来越被期待。
我的网站这些响应头一个都没有 — 这很糟吗?+
这是一种错失的机会,不总是紧急情况。先添加 HSTS 将站点锁定到 HTTPS,然后是严格的 Referrer-Policy。CSP 是最强防御,但需要最多规划。
为什么有些网站隐藏了 Server 响应头?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.