最重要的安全头是哪些？

Strict-Transport-Security、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options是最基本的。所有网站都应该设置。

HSTS的max-age应设多长？

推荐至少31536000秒（1年）。先用小值测试，确认无问题后设置长期值。includeSubDomains和preload提供更强保护。

X-Frame-Options有哪些值？

DENY完全禁止嵌入。SAMEORIGIN只允许同源嵌入。ALLOW-FROM已废弃，使用CSP的frame-ancestors替代。

Permissions-Policy有什么用？

控制浏览器功能的访问权限，如相机、麦克风、地理位置、支付等。可以阻止第三方脚本使用这些敏感功能。

如何添加安全头？

在Web服务器配置中添加（Nginx、Apache），或通过CDN/WAF配置，或在应用框架中间件中设置。方式取决于架构。

如何在Claude/Cursor中使用此工具？

您可以通过MCP使用此工具。将Toolypet MCP服务器添加到您的AI代理配置中，使用 'npx -y @toolypet/mcp-server@latest'。然后让AI使用对应的MCP工具及相应参数。

什么是MCP？为什么Toolypet支持它？

MCP（模型上下文协议）是一个开放标准，允许Claude和Cursor等AI代理使用外部工具。Toolypet支持MCP，让您可以在浏览器和AI代理中使用所有65+工具，将计算和操作无缝集成到AI工作流程中。

安全头检查器 | Toolypet

免费在线安全头检查器。分析HTTP安全头并获取改进建议。支持MCP。

这是什么？

HTTP安全头分析器，审计网站的安全头配置，包括HSTS、CSP、X-Frame-Options、X-Content-Type-Options等。提供安全评级和缺失头的详细修复建议。

输入

常用安全头

头部

预览

输入安全头进行分析

使用方法

输入安全头配置或网站URL，工具分析所有安全相关的HTTP头。查看每个头的状态（存在/缺失/配置不当）和整体安全评级。按照建议添加或修复安全头。

深入解析

必要的安全头：Strict-Transport-Security（HSTS）强制HTTPS；Content-Security-Policy防御XSS；X-Frame-Options防止点击劫持；X-Content-Type-Options阻止MIME嗅探。高级头：Permissions-Policy控制浏览器功能访问；Referrer-Policy控制referrer信息泄露；Cross-Origin-Embedder-Policy和Cross-Origin-Opener-Policy提供进程隔离。

示例

检查安全头配置：审计网站所有安全相关HTTP头
HSTS配置验证：确认HSTS策略是否正确设置
缺失头检测：发现未设置的必要安全头
安全头模板：获取推荐的安全头配置模板
合规性检查：验证安全头是否满足行业标准

安装 Toolypet MCP 服务器

通过一条命令将 Toolypet 工具添加到您的 AI 代理。支持 Claude Desktop、Claude Code、Cursor 及所有 MCP 兼容客户端。

快速开始

npx -y @toolypet/mcp-server@latest

MCP 客户端配置

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

工具名称:mcp__toolypet__security_header_checker

提示示例

Check security headers: X-Frame-Options DENY, Strict-Transport-Security max-age=31536000

输入示例

{
  "headers": {
    "X-Frame-Options": "DENY",
    "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
    "X-Content-Type-Options": "nosniff"
  }
}

输出示例

{
  "score": 75,
  "grade": "B",
  "present": [
    "X-Frame-Options",
    "Strict-Transport-Security",
    "X-Content-Type-Options"
  ],
  "missing": [
    "Content-Security-Policy",
    "Referrer-Policy",
    "Permissions-Policy"
  ],
  "recommendations": [
    "Add Content-Security-Policy header",
    "Add Referrer-Policy header"
  ]
}

常见问题

最重要的安全头是哪些？: Strict-Transport-Security、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options是最基本的。所有网站都应该设置。
HSTS的max-age应设多长？: 推荐至少31536000秒（1年）。先用小值测试，确认无问题后设置长期值。includeSubDomains和preload提供更强保护。
X-Frame-Options有哪些值？: DENY完全禁止嵌入。SAMEORIGIN只允许同源嵌入。ALLOW-FROM已废弃，使用CSP的frame-ancestors替代。
Permissions-Policy有什么用？: 控制浏览器功能的访问权限，如相机、麦克风、地理位置、支付等。可以阻止第三方脚本使用这些敏感功能。
如何添加安全头？: 在Web服务器配置中添加（Nginx、Apache），或通过CDN/WAF配置，或在应用框架中间件中设置。方式取决于架构。
如何在Claude/Cursor中使用此工具？: 您可以通过MCP使用此工具。将Toolypet MCP服务器添加到您的AI代理配置中，使用 'npx -y @toolypet/mcp-server@latest'。然后让AI使用对应的MCP工具及相应参数。
什么是MCP？为什么Toolypet支持它？: MCP（模型上下文协议）是一个开放标准，允许Claude和Cursor等AI代理使用外部工具。Toolypet支持MCP，让您可以在浏览器和AI代理中使用所有65+工具，将计算和操作无缝集成到AI工作流程中。

这是什么？

输入

预览

使用方法

深入解析

示例

安装 Toolypet MCP 服务器

常见问题

相关工具