上線前排查安全與抓取穩定性時,先查看安全回應頭和源站暴露,再檢查 CSP、CORS、Referrer-Policy、Permissions-Policy、Cache-Control 與壓縮,可同時發現嵌入風險、跨域誤放行、源站直連、技術棧洩露和回應體積問題。
安全回應頭查看CSP 安全策略檢查CORS 跨域回應頭檢查源站暴露檢測gzip brotli 壓縮檢測網站安全頭配置
適合哪些查看場景
檢查 HSTS、CSP、X-Frame-Options、nosniff 等安全頭是否缺失
排查 Access-Control-Allow-Origin 是否過寬或預檢不一致
查看 Server、X-Powered-By、直連 IP、CDN 線索和源站暴露風險
確認 HTML、CSS、JS 是否啟用 gzip/brotli 壓縮並保留正確快取策略
推薦查看路徑
- 先用安全回應頭體檢查看基礎風險
- 再用 CSP 與 CORS 工具檢查腳本、嵌入和跨域策略
- 用源站暴露體檢核對 DNS、跳轉、技術棧和 CDN 線索
- 最後用壓縮、快取和回應頭配方整理可複製修復方案
相關工具入口
聚合 HSTS、CSP、CORS、Referrer-Policy、Permissions-Policy、源站暴露、技術棧洩露和 gzip/brotli 壓縮的上線檢查入口。
安全回應頭體檢查看
查看线上 URL 是否部署了 HSTS、CSP、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、COOP/CORP 等關鍵安全响应头。
安全头HSTSCSPCSP 安全策略查看
查看 URL 的 Content-Security-Policy 和 Report-Only 策略,分析 default-src、script-src、object-src、frame-ancestors 等關鍵风险。
CSPContent Security Policy安全头CORS 跨域回應頭查看
查看 URL 对指定 Origin、请求方法和自定义请求头的 CORS 预检与实际响应头,判断跨域配置是否可用或过度开放。
CORS跨域响应头源站暴露體檢
联合查看 DNS 直连、CDN 边缘特征、HTTP 到 HTTPS 跳转、安全响应头和 Server/X-Powered-By 泄露风险。
源站暴露CDNHeaderGzip / Brotli 壓縮查看
查看 URL 响应是否启用 gzip、brotli 等内容压缩,并检查 Vary、缓存和内容类型等關鍵响应信号。
GzipBrotliHTTP 压缩Referrer-Policy 生成查看
根据隐私、统计和跨站跳转需求生成 Referrer-Policy 响应头,并给出 Nginx、Apache、Next.js 与 Meta 兼容写法。
Referrer-Policy安全头隐私Permissions-Policy 生成查看
为摄像头、麦克风、定位、支付、USB、蓝牙、全屏和剪贴板等浏览器能力生成 Permissions-Policy 安全响应头。
Permissions-Policy安全头浏览器权限Cache-Control 生成查看
根据页面类型生成 Cache-Control 缓存响应头,支持 public/private、max-age、s-maxage、stale-while-revalidate 与部署片段。
Cache-Control缓存CDN安全回應頭配方生成查看
按站点类型生成一组可直接部署的安全响应头配方,覆盖 HSTS、X-Frame-Options、Referrer-Policy、Permissions-Policy 与跨源隔离基础项。
安全头HSTSReferrer-Policy常見問題
上線前排查安全與抓取穩定性時,先查看安全回應頭和源站暴露,再檢查 CSP、CORS、Referrer-Policy、Permissions-Policy、Cache-Control 與壓縮,可同時發現嵌入風險、跨域誤放行、源站直連、技術棧洩露和回應體積問題。
為什麼安全頭、CSP、CORS 和源站暴露要一起看?
這些信號都來自公開回應和網路策略,常會共同影響安全、抓取穩定性和頁面體驗。一起看更容易找出跨域、嵌入、直連源站與技術棧洩露的關聯。
這些檢查會修改伺服器配置嗎?
不會。Chakan 只讀取公開 URL 回應和本地輸入,給出風險分級與配置建議,真正修改 Nginx、CDN、Next.js 或後端配置前仍需人工複核。
繼續查看這些專題
把高頻工具需求整理成可收錄、可引用、可轉發的專題頁,讓使用者快速找到一組相關工具,也讓搜尋與 AI 更容易理解 Chakan。