审计原始响应头里的 HSTS、CSP、Cookie 标记、MIME 嗅探、点击劫持、Referrer 和权限策略缺口。
- 本地处理
- 分类 开发运维
- 适合 格式化、校验、压缩或检查和代码相关的文本。
在浏览器本地运行, 文件不会上传。文本上限: 8 MB。
响应头
8
High
0
Medium
0
问题
1
这个工具能做什么
HTTP 安全响应头审计器会检查粘贴的响应头或 curl -I 输出, 生成浏览器安全清单。它会检查 Strict-Transport-Security、Content-Security-Policy、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、X-Frame-Options 或 frame-ancestors、Server 和 X-Powered-By 暴露, 以及 Set-Cookie 是否带 Secure、HttpOnly、SameSite。它适合发布前复核、客户交付、漏洞反馈初筛、反向代理调整、CDN 迁移和线上快速 sanity check。工具不会扫描站点, 也不会发请求。你提供响应头, 它输出 Markdown、JSON 或 CSV, 方便安全、平台和前端团队协作。
工具细节
- 输入
- 文件 + 文本 + 数值
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制 + 下载
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 可分享链接状态
- 关键设置会进入 URL,复制链接后别人能复现同一组参数。
- 性能预算
- 首屏 JS ≤ 118 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 开发运维 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
HTTP 安全响应头审计器 适合怎么用
适合穿插在写代码、查问题、做 Review、上线前的小任务里。
适合开发场景
- 格式化、校验、压缩或检查和代码相关的文本。
- 把片段整理好再放进文档、工单、提交或交接材料。
- 不切换工具,快速检查一个小 payload。
开发检查项
- 压缩、混淆这类不可逆处理,先对副本操作。
- 除非确认工具本地处理,不要粘贴密钥和敏感片段。
- 转换后的代码上线前,仍要跑自己的测试或 lint。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
生产发布前复核
粘贴测试或生产响应头, 在上线前发现浏览器安全加固缺口。
初筛安全反馈
把截图或 curl 输出转成结构化问题清单, 交给平台负责人处理。
常见踩坑
迁移到 HTTPS 后仍然给 Cookie 漏掉 SameSite 和 Secure。
只配置过一次 CSP, 后续没有检查 unsafe-inline 或 unsafe-eval 是否回来了。
隐私说明
响应头可能暴露基础设施和 Cookie 名称。工具只在本地解析粘贴文本。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。