HTTP Header Analyzer
貼上 HTTP Request / Response Header,即時解析結構、分析安全性、快取設定、CORS 配置與 Cookie 安全。
適用於 Web 開發、API 除錯與資安分析。
HTTP Header 常見問題 FAQ
Q1: HTTP Header 是什麼?
HTTP Header(HTTP 標頭)是 HTTP 請求和回應中的後設資料(metadata),位於起始行之後、訊息主體之前,以 Header-Name: Value 格式呈現。Header 傳遞了關於請求、回應或連線的額外資訊,如內容類型、快取策略、認證資訊、安全設定等。
範例:Content-Type: text/html; charset=utf-8
Cache-Control: public, max-age=3600
X-Frame-Options: DENY
Q2: Request Header 和 Response Header 有什麼差別?
Request Header由用戶端發送給伺服器,包含 Host、User-Agent、Accept、Authorization、Cookie 等。Response Header由伺服器發送給用戶端,包含 Content-Type、Cache-Control、Set-Cookie、Strict-Transport-Security 等。
Q3: 什麼是 Security Headers?為什麼重要?
Security Headers是 HTTP Response Header 中用來增強網站安全性的標頭,如 HSTS(強制 HTTPS)、CSP(防 XSS)、X-Frame-Options(防 Clickjacking)等。OWASP 建議所有正式環境網站都應配置這些標頭。
Q4: CORS 是什麼?為什麼需要設定 CORS Headers?
CORS(跨來源資源共享)是一種瀏覽器安全機制,允許網頁從一個網域向另一個網域請求資源。相關 Header 包括 Access-Control-Allow-Origin、Allow-Methods、Allow-Headers、Allow-Credentials、Max-Age。常見問題:使用 * 搭配 credentials=true 會失敗。
Q5: Cache-Control 和 Expires 有什麼不同?
Expires 是 HTTP/1.0 標頭,使用絕對時間指定過期時間。Cache-Control 是 HTTP/1.1 標頭,提供更精細的快取控制(如 max-age、public、no-store)。現代網站應優先使用 Cache-Control,並可同時設定 Expires 作為 fallback。
Q6: Cookie 的 Secure、HttpOnly、SameSite 是做什麼的?
Secure:Cookie 僅在 HTTPS 下發送。HttpOnly:禁止 JavaScript 存取(防 XSS 竊取)。SameSite:控制跨站請求行為(Strict/Lax/None)。最佳實踐:敏感 Cookie 應同時設定三者。
Q7: 本工具會將我的 Header 資訊上傳到伺服器嗎?
完全不會。本工具是純前端應用,所有解析與分析都在您的瀏覽器中本地完成。
HTTP Header 完整指南
HTTP 訊息的結構
一個完整的 HTTP 訊息由三部分組成:
GET /api/users HTTP/1.1 或 HTTP/1.1 200 OK
標頭(Headers)
Host: api.example.com
Content-Type: application/json
(空行)
訊息主體(Body) — 可選
Header 位於起始行之後、空行之前,每個 Header 一行。正確配置 Header 對於安全、效能和 SEO 至關重要。
Security Score 評分標準
- HSTS(+20):強制 HTTPS,防止 SSL Stripping
- CSP(+20):內容安全策略,防範 XSS
- X-Frame-Options(+12):防止 Clickjacking
- X-Content-Type-Options(+10):防止 MIME 嗅探
- Referrer-Policy(+10):控制 Referer 暴露
- Permissions-Policy(+10):限制 API 存取
- CORS 正確配置(+8)、Content-Type(+5)、Cookie 安全(+5)
滿分 100 分,80+ Excellent · 60+ Good · 40+ Fair · 低於 40 Poor。