在瀏覽器中即時執行此工具，無需註冊且不需伺服器處理。

喜歡這個工具？

安裝 byteflow.tools，以獲得更快啟動與離線工具存取體驗。

安全回應標頭分析器

對安全回應標頭進行通過/警告/失敗評分，並提供修復建議。

: 16/16 (100%)通過 8警告 0失敗 0

Content-Security-Policy

通過

CSP present with safer baseline directives.

default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'

Strict-Transport-Security

通過

HSTS is configured with strong baseline.

max-age=31536000; includeSubDomains; preload

X-Frame-Options

通過

Anti-clickjacking policy is configured.

DENY

X-Content-Type-Options

通過

MIME-sniffing protection is enabled.

nosniff

Referrer-Policy

通過

Referrer policy is privacy-conscious.

strict-origin-when-cross-origin

Permissions-Policy

通過

Permissions-Policy is present.

camera=(), microphone=(), geolocation=()

Cross-Origin-Opener-Policy

通過

COOP is configured for isolation.

same-origin

Cross-Origin-Resource-Policy

通過

CORP header is present.

same-origin

相關工具

解析內容安全策略標頭並分析安全問題。

並排對比 HTTP 標頭，標示差異。

HTTP 狀態碼字典

提供所有 HTTP 狀態碼及其描述的搜尋參考。

憑證解碼器

解碼 PEM 編碼的 X.509 憑證，本地查看所有詳細資訊。

安全回應標頭分析器：完整使用指南

分析 HTTP 回應安全標頭，根據通過、警告、失敗狀態計分，並整理可直接複製的修復建議報告。

這個工具能做什麼

接受原始回應標頭文字，逐項檢查 CSP、HSTS、X-Frame-Options、Referrer-Policy 等常見標頭。

為每個標頭顯示 pass、warn、fail 狀態、目前值與建議修正方向。

可把總分摘要與逐項建議複製成報告，方便貼進稽核、PR 或安全工單。

典型使用情境

上線前快速檢查站點是否缺少關鍵安全標頭。
針對安全掃描報告中的標頭問題做人工複核。
在 PR 或變更單中附上當前分數與缺失標頭清單。
教育團隊理解常見安全標頭的預期值與補強方向。

輸入範例

完整樣本

HTTP/2 200
content-security-policy: default-src 'self'; object-src 'none'
strict-transport-security: max-age=31536000; includeSubDomains
x-frame-options: DENY

缺少 HSTS

content-security-policy: default-src 'self'
x-content-type-options: nosniff

僅貼標頭區塊

referrer-policy: strict-origin-when-cross-origin
permissions-policy: camera=(), microphone=()

輸出範例

分數摘要

Score: 8/10 (80%)
Pass 6
Warn 2
Fail 0

單項結果

Content-Security-Policy
PASS
default-src 'self'; object-src 'none'

報告區段

Recommendations
- Add HSTS with a long max-age
- Tighten frame-ancestors or X-Frame-Options

常見錯誤與修正

貼入了 HTML 或整段 curl 輸出

只保留 HTTP 回應狀態列與標頭內容，避免混入 HTML 主體。

把 request header 當成 response header 分析

確認來源是伺服器回應標頭，不是瀏覽器送出的請求標頭。

看到 PASS 就直接忽略實際值

除了狀態，也要檢查標頭值是否符合你的部署與風險要求。

安全與隱私說明

工具只分析貼上的標頭文字，不會主動抓取你的網站。
若標頭中包含內部網域、nonce 或追蹤值，分享前請先脫敏。
複製報告到外部系統前，請確認其中沒有暴露測試環境資訊。

分步操作流程

從瀏覽器、代理或伺服器日誌複製回應標頭。
貼到輸入區後先看總分與 pass/warn/fail 分布。
逐項檢查每個標頭的目前值與建議修正。
需要交付時可直接複製報告貼進 PR 或安全工單。

分享結果前的品質檢查清單

輸入內容確實是 response headers，而非 request headers 或 HTML 主體。
缺失與警告項目都已回到實際伺服器設定驗證。
報告分享前已移除內部網域、nonce 與測試環境資訊。
最終修正後重新分析，確認分數與狀態有改善。

使用建議

安全回應標頭分析器適合做快速靜態複核；是否達標仍需和實際伺服器設定、瀏覽器行為與安全政策一起驗證。

常見問題

這個分數能代表站點完全安全嗎？

不能。它只評估一組常見安全標頭，仍需搭配其他安全測試與配置審查。

可以直接貼瀏覽器 Network 面板中的標頭嗎？

可以，只要保留回應標頭區塊即可。

為什麼同一個標頭會是 warning 而不是 fail？

代表標頭存在，但值不夠完整或不符合最佳實務，而不是完全缺失。