安全头检查器

检查网站的安全HTTP头配置，包括CSP、HSTS、X-Frame-Options等，获取安全评分和改进建议

输入网站URL

网站地址

强制检查HTTPS

快速测试示例

修复建议

Nginx配置示例

# nginx.conf
add_header X-Frame-Options "DENY";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Content-Security-Policy "default-src 'self';";

Apache配置示例

# .htaccess
Header always set X-Frame-Options "DENY"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Content-Security-Policy "default-src 'self';"

Node.js (Express)配置示例

const helmet = require('helmet');
app.use(helmet({
  hsts: {
    maxAge: 31536000,
    includeSubDomains: true
  },
  contentSecurityPolicy: {
    directives: {
      defaultSrc: ["'self'"]
    }
  }
}));

安全头说明

Content-Security-Policy (CSP)

防止XSS攻击，控制资源加载来源。最重要的安全头之一。

权重: 20分

Strict-Transport-Security (HSTS)

强制浏览器使用HTTPS连接，防止中间人攻击。

权重: 15分

X-Frame-Options

防止点击劫持攻击，控制页面是否可被嵌入iframe。

权重: 10分

X-Content-Type-Options

防止MIME类型嗅探，避免恶意文件执行。

权重: 10分

Referrer-Policy

控制Referer信息泄露，保护用户隐私。

权重: 10分

Permissions-Policy

控制浏览器功能访问（摄像头、麦克风等）。

权重: 10分