上线前排查安全与抓取稳定性时,先查看安全响应头和源站暴露,再检查 CSP、CORS、Referrer-Policy、Permissions-Policy、Cache-Control 与压缩。这样可以同时发现被嵌入风险、跨域误放行、源站直连、技术栈泄露和响应体积问题。
安全响应头查看CSP 安全策略检查CORS 跨域响应头检查源站暴露检测gzip brotli 压缩检测网站安全头配置
适合哪些查看场景
检查 HSTS、CSP、X-Frame-Options、nosniff 等安全头是否缺失
排查 Access-Control-Allow-Origin 是否过宽或预检不一致
查看 Server、X-Powered-By、直连 IP、CDN 线索和源站暴露风险
确认 HTML、CSS、JS 是否启用 gzip/brotli 压缩并保留正确缓存策略
推荐查看路径
- 先用安全响应头体检查看全站基础风险
- 再用 CSP 与 CORS 工具检查脚本、嵌入和跨域策略
- 用源站暴露体检核对 DNS、跳转、技术栈和 CDN 线索
- 最后用压缩、缓存和响应头配方工具整理可复制修复方案
相关工具入口
聚合 HSTS、CSP、CORS、Referrer-Policy、Permissions-Policy、源站暴露、技术栈泄露和 gzip/brotli 压缩的上线检查入口。
安全响应头体检查看
查看线上 URL 是否部署了 HSTS、CSP、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP/CORP 等关键安全响应头。
安全头HSTSCSPCSP 安全策略查看
查看 URL 的 Content-Security-Policy 和 Report-Only 策略,分析 default-src、script-src、object-src、frame-ancestors 等关键风险。
CSPContent Security Policy安全头CORS 跨域响应头查看
查看 URL 对指定 Origin、请求方法和自定义请求头的 CORS 预检与实际响应头,判断跨域配置是否可用或过度开放。
CORS跨域响应头源站暴露体检
联合查看 DNS 直连、CDN 边缘特征、HTTP 到 HTTPS 跳转、安全响应头和 Server/X-Powered-By 泄露风险。
源站暴露CDNHeaderGzip / Brotli 压缩查看
查看 URL 响应是否启用 gzip、brotli 等内容压缩,并检查 Vary、缓存和内容类型等关键响应信号。
GzipBrotliHTTP 压缩Referrer-Policy 生成查看
根据隐私、统计和跨站跳转需求生成 Referrer-Policy 响应头,并给出 Nginx、Apache、Next.js 与 Meta 兼容写法。
Referrer-Policy安全头隐私Permissions-Policy 生成查看
为摄像头、麦克风、定位、支付、USB、蓝牙、全屏和剪贴板等浏览器能力生成 Permissions-Policy 安全响应头。
Permissions-Policy安全头浏览器权限Cache-Control 生成查看
根据页面类型生成 Cache-Control 缓存响应头,支持 public/private、max-age、s-maxage、stale-while-revalidate 与部署片段。
Cache-Control缓存CDN安全响应头配方生成查看
按站点类型生成一组可直接部署的安全响应头配方,覆盖 HSTS、X-Frame-Options、Referrer-Policy、Permissions-Policy 与跨源隔离基础项。
安全头HSTSReferrer-Policy常见问题
上线前排查安全与抓取稳定性时,先查看安全响应头和源站暴露,再检查 CSP、CORS、Referrer-Policy、Permissions-Policy、Cache-Control 与压缩。这样可以同时发现被嵌入风险、跨域误放行、源站直连、技术栈泄露和响应体积问题。
为什么安全头、CSP、CORS 和源站暴露要一起看?
这些信号都来自公开响应和网络策略,常常共同影响安全、抓取稳定性和页面体验。分开看容易漏掉跨域、嵌入、直连源站和技术栈泄露之间的关联。
这些检查会修改我的服务器配置吗?
不会。Chakan 只读取公开 URL 的响应和输入内容,给出风险分级与配置建议,真正修改 Nginx、CDN、Next.js 或后端配置前仍应人工复核。
继续查看这些专题
把高频工具需求整理成可收录、可引用、可转发的专题页,帮助用户快速找到一组相关工具,也帮助搜索引擎和 AI 理解 Chakan 的工具能力。