如果搜索批量 HTTP 响应头解析,这个页面的信息匹配度比较高。它不是泛泛的在线工具,HTTP 头部解析直接围绕 HTTP headers 分析展开,适合复制到配置文件前做最后检查,结果也容易继续整理。
安全头部清单
- Strict-Transport-Security (HSTS)——强制 HTTPS,防止降级攻击
- Content-Security-Policy (CSP)——限制资源来源,防止 XSS
- X-Frame-Options——控制 iframe 嵌入,防止点击劫持
- X-Content-Type-Options: nosniff——防止 MIME 类型嗅探
- Referrer-Policy——控制 Referer 头部信息泄露
- Permissions-Policy——限制浏览器特性访问
缓存头部
- Cache-Control: max-age——响应在多少秒内视为新鲜
- Cache-Control: public/private——可被 CDN 缓存或仅浏览器缓存
- Cache-Control: no-store——绝不缓存(敏感数据)
- ETag / Last-Modified——用于条件请求重新验证