RevealTheme logo

Trình phân tích header HTTP

Kiểm tra các header phản hồi HTTP của bất kỳ URL nào. Làm nổi bật các header bảo mật bị thiếu.

Cách sử dụng công cụ này

  1. 1

    Type a public hostname or URL (for example example.com or https://example.com) into the input box.

  2. 2

    Press Analyze. The tool's server sends a GET request to that host over HTTPS, falling back to HTTP if needed.

  3. 3

    Read the yellow 'Missing security headers' panel to see which of the nine tracked headers are absent.

  4. 4

    Scroll the 'All headers' list to inspect every header the server actually returned, value by value.

Trình phân tích header HTTP là gì?

Các header phản hồi HTTP mang theo siêu dữ liệu về mỗi phản hồi: quy tắc bộ nhớ đệm, chính sách bảo mật, loại nội dung và danh tính máy chủ. Bảo mật hiện đại phụ thuộc vào các header như Strict-Transport-Security (HSTS), Content-Security-Policy (CSP) và X-Frame-Options. Công cụ này truy xuất một URL và hiển thị tất cả các header phản hồi, cùng với một danh sách các header bảo mật được khuyến nghị nhưng đang thiếu.

Các trường hợp sử dụng phổ biến

  • Confirm a freshly deployed site is sending HSTS and a Content-Security-Policy before you announce launch.

  • Spot-check a competitor's or vendor's public domain to see how their security header posture compares to yours.

  • Verify that a CDN or reverse-proxy change (Cloudflare, Fastly, nginx) is actually adding the headers you configured at the edge.

  • Quickly read Cache-Control, ETag, and Content-Type on a production response when debugging a caching or MIME-type bug.

  • Check whether a redirect chain ends on HTTPS and what the final hop's headers look like, since the tool follows up to five redirects.

  • Hand a developer a concrete list of missing headers (X-Frame-Options, X-Content-Type-Options, Referrer-Policy) to add to their server config.

Câu hỏi thường gặp

Tôi nên có những header bảo mật nào?
HSTS, CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy và Permissions-Policy. Tất cả đều xuất hiện trong báo cáo.
X-Powered-By có nguy hiểm không?
Nó tiết lộ thông tin về máy chủ. Hãy ẩn nó trong cấu hình framework của bạn để gây khó khăn cho việc thăm dò.

Công cụ liên quan