Content-Security-Policy
passCSP present with safer baseline directives.
default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'
对安全响应头进行通过/警告/失败评分,并给出修复建议。
CSP present with safer baseline directives.
default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'
HSTS is configured with strong baseline.
max-age=31536000; includeSubDomains; preload
Anti-clickjacking policy is configured.
DENY
MIME-sniffing protection is enabled.
nosniff
Referrer policy is privacy-conscious.
strict-origin-when-cross-origin
Permissions-Policy is present.
camera=(), microphone=(), geolocation=()
COOP is configured for isolation.
same-origin
CORP header is present.
same-origin
分析 HTTP 安全标头并接收通过/警告/失败评分以及更安全的 Web 部署的修复指南。
它解析原始数据响应标头块,包括可选状态行。
它评估关键安全标头,并将每个标头分类为通过、警告或失败。
它使用状态计数计算总体安全分数。
它生成包含可操作补救提示的可复制报告。
原始标头
内容安全策略:...\n严格传输安全:...
安全示例
x-frame-options:DENY\nx-content-type-options:nosniff
可选状态行
HTTP/2 200
得分
得分 14/18(通过/警告/失败计数)
每个标头评估
CSP 通过,HSTS 警告,COOP 失败并提供建议
复制报告
用于票证和审核的格式化安全标头摘要
以非标准格式粘贴的标头
每行使用一对“名称:值”。
缺少代理标头的漏报
从边缘/产品路径捕获最终响应标头。
分数解释为合规性认证
使用分数作为指导,而不是法律/合规性保证。
过时的政策假设
根据当前浏览器支持情况和组织审查要求更新策略。
复制不完整的报告上下文
在复制的输出中包含环境 URL 和时间戳。
安全响应头分析器 应作为交付流程中的快速校验步骤,在提交、发布和交接前都建议执行一次。
通过/警告/失败是什么意思?
它指示标头存在和配置是否满足基线期望。
这可以检测每个网络安全问题吗?
不,它只关注标头级别的状态。
我应该运行这个每次基础设施更改后?
是,尤其是在代理、CDN 或中间件更新后。
我可以复制完整的报告摘要吗?
是,内置报告复制操作。
高分是否能保证完全安全?
否,将此与更广泛的安全测试实践相结合。