安全標頭
抓取 URL 並評分其 HTTP 安全標頭:HSTS、CSP、X-Frame-Options、X-Content-Type-Options、Referrer-Policy 與 Permissions-Policy。它會標出缺少或偏弱的標頭,並附上建議。
常見問題
- 哪些標題最重要?
- HSTS 強迫 HTTPS,Content-Security-Policy 阻止 XSS,X-Frame-Options 阻止點擊劫持,X-Content-Type-Options 阻止 MIME 嗅聞。缺少其中任何一個都是常見的漏洞。
- 我的框架會自動設定這些嗎?
- 通常不會。 Express、Django 和 Rails 需要明確設定。使用安全帽 (Node)、django-secure 或機架保護。 Cloudflare 和 Vercel 提供一鍵切換。
- 嚴格的標題會破壞我的網站嗎?
- 是的。過於嚴格的 CSP 會阻止內嵌腳本和第三方分析。首先在僅報告模式下進行測試,修復違規行為,然後強制執行。