HTTP Header 解析器/ 响应头解读
粘贴 HTTP 响应头,按分类解读每个字段的含义。
这个工具有帮到你吗?
常见问题
如何获取网站的 HTTP 响应头?
在 Chrome/Firefox 中打开开发者工具(F12)→ Network 标签 → 点击任意请求 → Headers 标签 → 复制 Response Headers 区域的内容。也可以用 curl:curl -I https://example.com,只会打印响应头不下载正文。
Cache-Control: max-age=3600 是什么意思?
表示浏览器和中间缓存服务器可以将该响应缓存最多 3600 秒(1 小时)。超时后需要重新发起请求。配合 ETag 或 Last-Modified 使用时,缓存可以向服务器发送条件请求验证内容是否仍然有效。
什么是 HSTS,为什么要开启它?
HSTS(HTTP 严格传输安全)通过 Strict-Transport-Security 响应头告知浏览器在指定时间内只通过 HTTPS 访问该站点,拒绝任何 HTTP 连接。这可以防止 SSL 剥离攻击。浏览器一旦收到该响应头,后续会主动拒绝对该域名的 HTTP 连接。
为什么我的 API 遇到 CORS 跨域报错?
浏览器在发起跨域请求时,会检查服务器响应是否包含 Access-Control-Allow-Origin 等 CORS 响应头。如果服务器没有明确允许该来源,浏览器就会拦截响应并报 CORS 错误。需要在服务端正确配置允许的来源、方法和请求头。
ETag 和 Last-Modified 有什么区别?
两者都是缓存验证机制。ETag 是资源的不透明标识符(通常是内容哈希),精度更高。Last-Modified 是资源最后修改时间,实现更简单但精度较低(可能遗漏亚秒级变更)。浏览器用它们发送条件请求(If-None-Match / If-Modified-Since),内容未变时服务器返回 304 Not Modified,节省带宽。
X-Content-Type-Options: nosniff 有什么作用?
阻止浏览器进行 MIME 嗅探——即猜测与服务器声明的 Content-Type 不同的类型。若没有此响应头,浏览器可能把以 text/plain 发送的 JavaScript 文件当作脚本执行。始终设置此响应头以防止内容注入攻击。