HTTP 头检测

查看浏览器发送的请求头，分析隐私与安全相关元数据。

工具展示内容

本页展示浏览器请求头以及服务端返回的安全响应头。

这些头部反映协议细节、内容处理与安全策略。

关键安全头

CSP 用于限制脚本来源，HSTS 用于强制 HTTPS。

X-Frame-Options 与 Permissions-Policy 用于降低点击劫持与特性滥用。

隐私相关

Referrer-Policy 控制向外站发送的 URL 信息量。

过于详细的头部可能泄露软件或基础设施细节。

结果解读

即使启用 TLS，缺失或薄弱的策略仍增加风险。

调整后请复测，确认浏览器实际执行规则。

常见配置错误

CSP 仅 report-only 不会真正拦截。

HSTS 包含子域时若未全站 HTTPS 会造成锁定。

排障顺序（建议按这个流程）

第一步先确认是"请求头问题"还是"响应头问题"：请求头由浏览器/代理生成，响应头由站点/CDN/WAF 返回，根因位置不同。

第二步在同一浏览器开无痕窗口复测，再在干净配置（禁用扩展）复测，快速排除插件注入与本地策略污染。

第三步换网络（家宽/移动网络/VPN）对照，如果只在某条链路异常，优先排查网关、代理或企业安全设备。

常见风险信号

当 User-Agent、Sec-CH-UA 与 TLS 指纹不一致时，风控系统通常会提高挑战等级，出现验证码增多或登录异常。

若 Referrer-Policy 缺失或过宽，跨站跳转时可能暴露完整路径参数，带来隐私和数据泄露风险。

如果 CORS 与权限策略配置过宽，第三方脚本更容易访问敏感能力，扩大攻击面。

CDN / 反向代理场景注意点

很多线上问题发生在源站与边缘之间：CDN 可能新增、覆盖或清洗响应头，导致你在源站看到正确配置，但用户端仍异常。

建议同时在源站直连与 CDN 域名下测试同一路径，对比关键头部（CSP、HSTS、X-Frame-Options、Permissions-Policy）。

若开启多层代理，务必确认各层不会互相覆盖安全头，否则最终结果可能与预期完全不同。

团队落地建议

为关键页面建立"头部基线清单"，将必须存在和禁止出现的头写成自动化检查，避免发布后回归。

每次变更 WAF、CDN 规则或网关策略后，执行一次全链路复测，优先覆盖登录、支付、管理后台等高风险页面。

在事故复盘中记录"头部差异截图 + 请求链路"，可显著降低同类问题重复发生。

局限性

不同路径或环境的响应头可能不同，请测试实际页面。

部分策略由浏览器执行，不同浏览器存在差异。

本工具用于诊断，不直接给出合规结论，需结合业务场景与组织策略判断。

HTTP 头检测 - 查看浏览器请求头