開啟網頁時瀏覽器會收到 HTTP 回應標頭,其中有一系列「安全標頭」(HTTP Security Headers)主要用於提升網站安全性,減少各種攻擊風險,如果可以對這些安全標頭預先進行設定,有助於提升網站安全性,防止各種網頁漏洞或攻擊,例如 XSS、點擊劫持和訊息洩露,那麼要怎麼知道網站有沒有使用安全標頭呢?除了在瀏覽器「開發者工具」檢查,也能透過線上工具、輸入網址查詢:
本文要介紹「Security Header Scanner」是免費的網頁安全標頭檢查工具,輸入網址就能在幾秒鐘內檢查你的網站標頭有無正確設定,這個工具背後是使用開源專案「shcheck」,如果有需要也可以在自己的電腦上本地執行此工具。
Security Header Scanner 可以檢查的安全標頭如下:
- Content-Security-Policy(CSP)
- X-Frame-Options
- X-Content-Type-Options
- Strict-Transport-Security(HSTS)
- X-XSS-Protection
- Referrer-Policy
- Permissions-Policy
- Cross-Origin Resource Sharing(CORS)headers
適合使用於檢查自己的網站安全配置,或在伺服器進行修改後檢查安全標頭有無正確使用。
網站名稱:Security Header Scanner
網站鏈結:https://headerscan.com/
如何使用 Security Header Scanner?
操作步驟
輸入網址進行掃描
開啟 Security Header Scanner 網站後直接輸入要檢測的網域名稱,按下「Scan」就會開始掃描。
分析檢測結果
從分析結果可以看到目前的安全評分,也就是有使用到的安全標頭比例,其中要注意的是紅色,也就是沒有使用的安全標頭,偵測頁面也很貼心提供範例,不過並沒有更多的說明或是設定方式,使用者可以透過相關資訊去進行搜尋和查找。
如果是顯示為綠色,代表是已經正確使用的安全標頭,Security Header Scanner 會顯示網站設定值,測試時可以善用此工具來檢查有沒有正確設定。
值得一試的三個理由:
- 輸入網址即可快速檢測網站安全標頭設定,適合網站管理者與開發者
- 幫助防範 XSS、點擊劫持、訊息洩露等常見攻擊,確保網站更安全
- 清楚顯示已啟用與缺少的安全標頭,提供對應範例方便進一步調整設定
