如果你已经知道站点需要补配置,而不是先做体检,优先从 Referrer-Policy、Permissions-Policy、Cache-Control 和安全头配方开始。先生成站点级默认值,再用安全头、CSP 和 CORS 检查工具复核线上结果,可以更快把配置从说明文档推进到真实发布。
Referrer-Policy 生成Permissions-Policy 生成Cache-Control 生成安全响应头配方Nginx 安全头配置Next.js headers 配置
适合哪些查看场景
为内容站、工具站和登录页生成站点级响应头默认值
为静态资源和 HTML 页面区分缓存策略
给 iframe、地图、支付、拍照、剪贴板等场景限制浏览器能力
生成 Nginx、Next.js、Apache 等可复制部署片段,再用体检工具回看实际效果
推荐查看路径
- 先用安全响应头配方生成整组站点基线
- 再按页面类型细化 Referrer-Policy、Permissions-Policy 和 Cache-Control
- 将配置片段落到 Nginx、CDN、Next.js 或边缘函数后发布
- 最后用安全响应头、CSP、CORS 工具复核真实线上响应
相关工具入口
把 Referrer-Policy、Permissions-Policy、Cache-Control 与整组安全响应头配方串成一条可复制、可上线、可复查的配置路径。
Referrer-Policy 生成查看
根据隐私、统计和跨站跳转需求生成 Referrer-Policy 响应头,并给出 Nginx、Apache、Next.js 与 Meta 兼容写法。
Referrer-Policy安全头隐私Permissions-Policy 生成查看
为摄像头、麦克风、定位、支付、USB、蓝牙、全屏和剪贴板等浏览器能力生成 Permissions-Policy 安全响应头。
Permissions-Policy安全头浏览器权限Cache-Control 生成查看
根据页面类型生成 Cache-Control 缓存响应头,支持 public/private、max-age、s-maxage、stale-while-revalidate 与部署片段。
Cache-Control缓存CDN安全响应头配方生成查看
按站点类型生成一组可直接部署的安全响应头配方,覆盖 HSTS、X-Frame-Options、Referrer-Policy、Permissions-Policy 与跨源隔离基础项。
安全头HSTSReferrer-Policy安全响应头体检查看
查看线上 URL 是否部署了 HSTS、CSP、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP/CORP 等关键安全响应头。
安全头HSTSCSPCSP 安全策略查看
查看 URL 的 Content-Security-Policy 和 Report-Only 策略,分析 default-src、script-src、object-src、frame-ancestors 等关键风险。
CSPContent Security Policy安全头CORS 跨域响应头查看
查看 URL 对指定 Origin、请求方法和自定义请求头的 CORS 预检与实际响应头,判断跨域配置是否可用或过度开放。
CORS跨域响应头常见问题
如果你已经知道站点需要补配置,而不是先做体检,优先从 Referrer-Policy、Permissions-Policy、Cache-Control 和安全头配方开始。先生成站点级默认值,再用安全头、CSP 和 CORS 检查工具复核线上结果,可以更快把配置从说明文档推进到真实发布。
为什么要把生成器和体检工具放在同一个专题里?
生成器负责给出推荐默认值,体检工具负责读取真实线上响应。两者串起来才能形成“生成配置 -> 上线发布 -> 线上复核”的完整闭环。
这些配置可以直接照抄到生产吗?
可以作为安全起点,但仍应按站点路径、第三方脚本、支付登录、嵌入需求和 CDN 规则做人工复核,尤其是 CSP、跨域和缓存策略。
继续查看这些专题
把高频工具需求整理成可收录、可引用、可转发的专题页,帮助用户快速找到一组相关工具,也帮助搜索引擎和 AI 理解 Chakan 的工具能力。