HTTP 头部解析器 - 在线分析和检查 HTTP 头部
免费在线 HTTP 头部解析工具。解析原始 HTTP 头部,检查键值对,并审查 CSP、HSTS、X-Frame-Options 等安全头部。
Parsed Headers (12)
| Header | Value | Note |
|---|---|---|
| Content-Type | application/json; charset=utf-8 | Indicates the media type of the resource (e.g., JSON, HTML). |
| Cache-Control | public, max-age=3600, s-maxage=7200 | Directives for caching mechanisms in requests and responses. |
| X-Frame-Options | DENY | Security: Prevents clickjacking by controlling iframe embedding. |
| Content-Security-Policy | default-src 'self'; script-src 'self' 'unsafe-inline' | Security: Controls which resources the browser is allowed to load. |
| Strict-Transport-Security | max-age=31536000; includeSubDomains; preload | Security: Forces HTTPS connections for the specified duration. |
| X-Content-Type-Options | nosniff | Security: Prevents MIME-type sniffing attacks. |
| X-XSS-Protection | 1; mode=block | Security: Legacy XSS filter for older browsers. |
| Referrer-Policy | strict-origin-when-cross-origin | Security: Controls how much referrer info is sent with requests. |
| Permissions-Policy | camera=(), microphone=(), geolocation=() | Security: Controls which browser features the page can use. |
| Server | nginx/1.24.0 | Identifies the server software. Consider hiding for security. |
| Date | Sat, 29 Mar 2026 12:00:00 GMT | The date and time at which the response was generated. |
| ETag | "abc123" | Identifier for a specific version of a resource for caching. |
Security Headers Check
7/7 present✓
X-Frame-OptionsDENY
✓
Content-Security-Policydefault-src 'self'; script-src 'self' 'unsafe-inline'
✓
Strict-Transport-Securitymax-age=31536000; includeSubDomains; preload
✓
X-Content-Type-Optionsnosniff
✓
X-XSS-Protection1; mode=block
✓
Referrer-Policystrict-origin-when-cross-origin
✓
Permissions-Policycamera=(), microphone=(), geolocation=()
什么是 HTTP 头部解析器?
HTTP 头部解析器是一款将原始 HTTP 响应或请求头部分解为结构化键值对的工具,便于分析。HTTP 头部携带有关请求或响应的元数据——包括内容类型、缓存指令、身份验证令牌、安全策略和服务器信息。本工具会解析每一行头部,显示名称和值,提供常见头部的简要说明,并通过检查 Content-Security-Policy、Strict-Transport-Security、X-Frame-Options 等 OWASP 推荐的关键安全头部来执行安全审计。
如何使用 HTTP 头部解析器
- 将原始 HTTP 头部粘贴到文本区域中,每行一个头部,格式为 'Header-Name: value'。默认提供了一组常见头部示例。
- 工具会立即解析头部并以结构化表格显示头部名称、值和简要说明。
- 向下滚动到安全头部检查部分,查看哪些推荐的安全头部存在(绿色勾号)或缺失(红色叉号)。
- 安全评分徽章显示 7 个推荐安全头部中有多少个存在于您的响应中。
- 在部署到生产环境之前,使用此工具审核服务器、API 或 CDN 的 HTTP 响应。
常见使用场景
- 安全审计 — 检查服务器是否发送了所有推荐的安全头部(CSP、HSTS、X-Frame-Options 等),以防护点击劫持、XSS 和 MIME 嗅探等常见 Web 漏洞。
- 缓存调试 — 分析 Cache-Control、ETag、Expires 和 Vary 头部,了解浏览器和 CDN 如何缓存您的响应,并排查内容过期问题。
- API 响应检查 — 检查 REST 或 GraphQL API 返回的头部,验证内容类型、CORS 配置、速率限制头部和身份验证相关头部。
- CORS 故障排除 — 快速识别响应中的 CORS 相关头部,无需切换到浏览器开发者工具即可调试跨域请求问题。
FAQ
头部应该是什么格式?
以标准的 'Header-Name: value' 格式粘贴头部,每行一个。您可以直接从浏览器开发者工具(网络标签页 → 选择请求 → 复制响应头部)或 curl 输出中复制头部。
检查哪些安全头部?
本工具检查 7 个推荐的安全头部:X-Frame-Options、Content-Security-Policy、Strict-Transport-Security、X-Content-Type-Options、X-XSS-Protection、Referrer-Policy 和 Permissions-Policy。这些是 OWASP 和安全最佳实践通常推荐的头部。
此工具会发送 HTTP 请求吗?
不会。此工具仅解析您粘贴到文本区域中的头部,不会发送任何 HTTP 请求或从远程服务器获取头部。所有处理都在浏览器本地完成。
可以解析请求头部吗?
可以。解析器适用于任何 'Name: value' 格式的头部,无论是请求头部(如 Accept、Authorization、User-Agent)还是响应头部(如 Content-Type、Set-Cookie、Cache-Control)。
安全评分是什么意思?
安全评分显示您粘贴的头部中存在多少个推荐的 7 个安全头部。7/7 的评分表示所有推荐的安全头部都存在。缺失的头部会以高亮显示,并说明它们所防护的攻击类型。