解析、分析并评估 HTTP 请求与响应头的安全性与配置质量
HTTP 头部(Headers)是 Web 浏览器与服务器之间交换元数据的关键通道。虽然用户在浏览网页时看不到它们,但头部字段决定了页面的缓存策略、内容类型、跨域访问权限以及最重要的——安全防护等级。
Content-Security-Policy
(CSP) 和
X-Frame-Options
,可以有效防御跨站脚本 (XSS) 和点击劫持攻击。
Strict-Transport-Security
(HSTS) 告诉浏览器只能通过 HTTPS 访问该网站,防止中间人攻击。
Cache-Control
和
ETag
决定了资源在用户本地的缓存时间,直接影响网站的加载速度。
Referrer-Policy
可以控制在点击链接时泄露给第三方网站的信息量。
场景一:API 接口被非法调用。
检查响应头中的
Access-Control-Allow-Origin
。如果设置为
*
且没有合理的认证机制,您的 API 可能会被任何网站恶意调用。本解析器会标记此类宽泛的 CORS
配置为风险。
场景二:浏览器报错“混合内容”。
如果您的网站启用了 HTTPS,但引用的脚本是 HTTP,浏览器会拦截。通过解析
Upgrade-Insecure-Requests
头部,您可以强制浏览器将所有不安全请求升级为 HTTPS。
Strict-Transport-Security:
最佳实践是设置
max-age
至少为半年,并包含
includeSubDomains
。这确保了整个域名生态的安全性。
X-Content-Type-Options:
设置为
nosniff
可以防止浏览器尝试“嗅探”内容类型,从而规避某些基于 MIME 类型伪造的攻击。