网站安全响应头检测
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
HeaderTest 是一款免费的在线安全响应头扫描器,核心用途是分析网站的 Content Security Policy(CSP)及其他 HTTP 安全响应头,帮助开发者和安全人员识别 XSS、点击劫持、数据注入等常见 Web 风险相关的配置缺陷。使用方式较轻量:输入网站 URL 后即可实时分析,页面强调无需注册、免费且可无限扫描。
从防护类型看,HeaderTest 重点覆盖 CSP 指令校验、安全头存在性和值验证、最佳实践对比、风险评分、漏洞/威胁检测和 SSL/TLS 验证。其列出的检测项包括 Content-Security-Policy、X-Content-Type-Options、X-Frame-Options、Strict-Transport-Security、Referrer-Policy、Permissions-Policy、Cross-Origin-Opener-Policy 等,适合检查 Web 应用安全基线。报告侧提供详细建议、优先级报告和修复指南,但正文未体现持续监控、告警通知、团队权限或集中管理能力。
定价非常明确:完全免费,无需注册,可扫描无限网站。部署方式为在线 Web 工具,正文没有提到私有化部署、CLI、API 或 CI/CD 集成,因此更适合即时检测和人工复核,而不是自动化 DevSecOps 流水线中的企业级组件。合规认证方面未披露具体信息。
优点是门槛低、扫描实时、覆盖常见安全头,并能给出可执行建议,对开发团队修复 CSP 中的 unsafe-inline、unsafe-eval、缺失 HSTS 或 X-Frame-Options 等问题有直接帮助。局限在于产品边界较窄,主要是配置检查工具,不提供 WAF、漏洞利用验证、资产管理、告警编排等完整安全平台能力;集成能力和服务支持信息也不足。
HeaderTest 适合个人开发者、中小团队、安全顾问以及组织在上线前或巡检时快速验证安全头配置。中国大陆访问情况正文未提供,判定为未知;支付不是问题,因为其声称免费使用。若需要替代或补充,可考虑 Mozilla Observatory、SecurityHeaders.com、Qualys SSL Labs 或 OWASP ZAP。
本测评基于公开资料整理,不构成购买建议,请以 headertest.com 官网实际信息为准。
免费检测CSP和安全头,开发者实用。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。