HTTP安全标头
分析网站发送的安全标头。
HTTP安全标头告诉浏览器如何保护您的用户免受点击劫持、XSS或内容嗅探等攻击。本工具会获取站点并检查存在哪些安全标头,显示它们的值并给出评分。
安全标头常见问题
HSTS(Strict-Transport-Security)强制浏览器始终通过HTTPS连接到您的域名,防止试图将连接降级为HTTP的攻击。它是最重要的安全标头之一。
CSP定义站点可以从哪些来源加载资源(脚本、样式、图片……)。配置得当时,它是抵御XSS攻击最强的防线,因为它会阻止未经授权的代码执行。
它防止您的站点被加载到另一个站点的iframe中,从而防范点击劫持(诱骗用户点击他们看不见的东西)。如今也可以通过CSP的 frame-ancestors 指令实现。
不能:它们是纵深防御的重要一层,但真正的安全还取决于代码、认证、依赖项和服务器配置。本工具仅评估响应标头。