如果你已經知道站點需要補設定,而不是先做體檢,可先從 Referrer-Policy、Permissions-Policy、Cache-Control 與安全頭配方開始。先生成站點級預設值,再用安全頭、CSP 與 CORS 工具複核線上結果,能更快把設定從說明推進到真實發布。
Referrer-Policy 生成Permissions-Policy 生成Cache-Control 生成安全回應頭配方Nginx 安全頭設定Next.js headers 設定
適合哪些查看場景
為內容站、工具站與登入頁生成站點級回應頭預設值
為靜態資源與 HTML 頁面區分快取策略
限制 iframe、地圖、支付、拍照、剪貼簿等場景的瀏覽器能力
生成 Nginx、Next.js、Apache 等可複製部署片段,並用體檢工具回看效果
推薦查看路徑
- 先用安全回應頭配方生成整組站點基線
- 再依頁面類型細化 Referrer-Policy、Permissions-Policy 與 Cache-Control
- 把設定片段落到 Nginx、CDN、Next.js 或邊緣函式後發布
- 最後用安全頭、CSP、CORS 工具複核真實線上回應
相關工具入口
把 Referrer-Policy、Permissions-Policy、Cache-Control 與整組安全回應頭配方整理成可複製、可上線、可複查的設定路徑。
Referrer-Policy 生成查看
根据隐私、统计和跨站跳转需求生成 Referrer-Policy 响应头,并给出 Nginx、Apache、Next.js 与 Meta 兼容写法。
Referrer-Policy安全头隐私Permissions-Policy 生成查看
为摄像头、麦克风、定位、支付、USB、蓝牙、全屏和剪贴板等浏览器能力生成 Permissions-Policy 安全响应头。
Permissions-Policy安全头浏览器权限Cache-Control 生成查看
根据页面类型生成 Cache-Control 缓存响应头,支持 public/private、max-age、s-maxage、stale-while-revalidate 与部署片段。
Cache-Control缓存CDN安全回應頭配方生成查看
按站点类型生成一组可直接部署的安全响应头配方,覆盖 HSTS、X-Frame-Options、Referrer-Policy、Permissions-Policy 与跨源隔离基础项。
安全头HSTSReferrer-Policy安全回應頭體檢查看
查看线上 URL 是否部署了 HSTS、CSP、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP/CORP 等關鍵安全响应头。
安全头HSTSCSPCSP 安全策略查看
查看 URL 的 Content-Security-Policy 和 Report-Only 策略,分析 default-src、script-src、object-src、frame-ancestors 等關鍵风险。
CSPContent Security Policy安全头CORS 跨域回應頭查看
查看 URL 对指定 Origin、请求方法和自定义请求头的 CORS 预检与实际响应头,判断跨域配置是否可用或过度开放。
CORS跨域响应头常見問題
如果你已經知道站點需要補設定,而不是先做體檢,可先從 Referrer-Policy、Permissions-Policy、Cache-Control 與安全頭配方開始。先生成站點級預設值,再用安全頭、CSP 與 CORS 工具複核線上結果,能更快把設定從說明推進到真實發布。
為什麼要把生成器和體檢工具放在同一個專題?
生成器負責給出推薦預設值,體檢工具負責讀取真實線上回應。兩者串起來才能形成「生成設定 -> 上線發布 -> 線上複核」的完整閉環。
這些設定可以直接照抄到正式環境嗎?
可以作為安全起點,但仍應依站點路徑、第三方腳本、支付登入、嵌入需求與 CDN 規則做人工複核,尤其是 CSP、跨域與快取策略。
繼續查看這些專題
把高頻工具需求整理成可收錄、可引用、可轉發的專題頁,讓使用者快速找到一組相關工具,也讓搜尋與 AI 更容易理解 Chakan。