HTTP安全标头检查

// HTTP安全标头检查

了解 HTTP 安全标头

HTTP 安全标头是 Web 服务器发送的指令，用于告知浏览器如何处理网站内容。它们构成了抵御常见 Web 攻击的关键防御层。Strict-Transport-Security（HSTS）强制使用 HTTPS 连接，Content-Security-Policy（CSP）防止脚本注入，X-Frame-Options 阻止点击劫持，X-Content-Type-Options 阻止 MIME 类型嗅探攻击。

缺少安全标头会使网站容易受到已知攻击模式的威胁。没有 HSTS，用户可能被降级到 HTTP 并遭到拦截。没有 CSP，注入的脚本可能窃取用户数据。没有 X-Frame-Options，攻击者可以将您的网站嵌入不可见的 iframe 中，诱骗用户点击隐藏按钮。

如何提升您的安全评级

在您的 Web 服务器（Nginx、Apache、Caddy）或 CDN（Cloudflare、AWS CloudFront）中配置安全标头。从影响最大的标头开始：设置较长 max-age 的 HSTS、严格的 CSP、设置为 DENY 的 X-Frame-Options，以及设置为 nosniff 的 X-Content-Type-Options。大多数标头只需添加一行配置即可生效。

常见问题

什么是 HTTP 安全标头？

HTTP 安全标头是 Web 服务器发出的响应指令，用于指示浏览器在处理内容时应如何运行。它们可防范跨站脚本攻击（XSS）、点击劫持、MIME 嗅探以及协议降级攻击等威胁。

每个安全标头的作用是什么？

HSTS 强制使用 HTTPS，CSP 控制哪些脚本可以运行，X-Frame-Options 防止 iframe 嵌入，X-Content-Type-Options 阻止 MIME 嗅探，Referrer-Policy 控制引用来源信息，Permissions-Policy 限制浏览器对摄像头和麦克风等功能的访问。

为什么我的网站评级较低？

常见原因包括：缺少 Content-Security-Policy（影响最大的标头）、没有 HSTS 标头，或缺少 X-Frame-Options。仅添加这三个标头就能显著提升您的评级。

安全标头会影响性能吗？

不会。安全标头带来的额外开销可以忽略不计——它们只是 HTTP 响应中多出的几个字节。对性能的影响几乎为零，而带来的安全效益却十分显著。