安全标头分析器
在 CSP、HSTS 和核心安全标头上将任何站点从 A+ 评级到 F——并提供可立即粘贴的修复程序。
Raw response headers
该分析器以与 securityheaders.com 相同的方式获取任何 URL 并对其 HTTP 安全标头进行评级 - 但针对每个缺失的标头提供了可操作的复制粘贴 nginx 修复。将其与技术分析器配对,即可全面了解任何站点的堆栈和状态。
常见问题解答
什么是 HTTP 安全标头?
安全标头是 Web 服务器随每个响应发送的指令,告诉浏览器如何进行防御性行为:Content-Security-Policy 限制脚本的加载位置,Strict-Transport-Security 强制使用 HTTPS,X-Frame-Options 阻止点击劫持,等等。它们是站点可以采取的最便宜、影响最大的强化步骤之一。
A+ 到 F 等级是如何计算的?
该等级计算六个核心标头中存在的数量(CSP、HSTS、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy)。所有六人均获得 A; A+ 另外还需要至少一个跨域隔离标头 (COOP/CORP/COEP),并且 CSP 中没有诸如 unsafe-inline 之类的弱化标志。
缺少安全标头会损害我的 SEO 吗?
不是直接的——谷歌不按安全标题排名。然而,HSTS 保护 Google 测量的 HTTPS 体验,并且经过强化的网站不太可能被黑客攻击和列入黑名单,这绝对会破坏排名。将标题视为 SEO 投资的保险。
如何添加缺少的标头?
报告中每个缺失的标头都包含一个可立即粘贴的 nginx 修复片段。在 Apache 上,使用 Header 始终在 .htaccess 中设置指令;在带有 nginx 的 WordPress 上,将代码片段添加到您的服务器块并重新加载。从 X-Content-Type-Options 和 HSTS(最低风险)开始,首先在仅报告模式下测试 CSP。
什么是信息披露?为什么会被标记?
Server: nginx/1.24.0 或 X-Powered-By: PHP/8.3 等标头揭示了确切的软件版本,使攻击者可以查找特定于版本的漏洞。该报告会对它们进行标记,以便您可以剥离或通用化它们。