HTTP 安全标头检查器
粘贴 raw response headers 或 curl -I 输出,即可在本地检查 CSP、HSTS、COOP 等常见安全标头。
仅支持 paste mode。标头分析完全在本地进行,staging 和 localhost 响应都只会留在你的设备上。
粘贴 raw response headers 或 curl -I 输出。如果包含 redirect chain,系统会以最后一个 response block 评分。
常见问题
可以粘贴 localhost 或 staging headers 吗?
可以。这个工具本来就是为 paste mode 设计的,所以你可以检查 localhost、内部 staging 或任何私有环境的 headers,而不需要公开网址。
为什么不直接抓取 URL?
很多私有环境根本无法直接抓取,而且还会暴露内部 endpoint。Paste mode 可以保持流程私密,同时兼容 curl 与浏览器 devtools。
高分是否代表一定安全?
不是。这个工具只会检查常见 response headers 和已知配置问题,并不等于完整的应用安全审计。