ZeroTool Workbench

HTTP Header 分析器

粘贴 HTTP 请求或响应原始头部,即时分析安全、缓存、CORS、内容和鉴权信息。内置 100+ 标头说明与合规提示,纯浏览器端运行。

100% 浏览器端运行 数据不离开你的设备 免费 · 无需注册

相关工具

Cookie 字符串解析器 将 Cookie 请求头字符串解析为名称/值表格,识别 HttpOnly、Secure、SameSite、Path、Domain、Expires、Max-Age 等标志,支持 URL 解码,一键复制 JSON。纯浏览器端运行。 CSP 头部生成器 通过指令、主机、hash 和 nonce 构建 Content-Security-Policy 安全头部,含严格模式模板、report-only 调试模式与 Express / Nginx 片段。完全在浏览器中运行。 HAR 文件分析器 拖入 DevTools 导出的 HAR 文件,在浏览器内可视化请求瀑布、状态码、Header / Cookie 与性能瓶颈。纯客户端运行,零上传。 HTTP 状态码大全 可搜索的完整 HTTP 状态码参考手册(1xx–5xx),含说明和使用场景。 JWT 解码器 解码并查看 JWT 的 Header、Payload 和 Signature,高亮过期状态。 HMAC 生成器 使用 SHA-256、SHA-384 或 SHA-512 生成 HMAC 签名,支持 Hex 和 Base64 输出,完全在浏览器中运行。

使用方法

  1. 将原始 HTTP 头部粘贴到文本框,首行可以是状态行或方法行。
  2. 点击分析。工具自动识别请求 / 响应,并按类别分组展示。
  3. 分类原文JSON 三个标签之间切换视图。
  4. 留意安全头部下的提示——配置错误显示警告,加固建议显示备注。
  5. 复制 JSON导出结构化结果,便于后续自动化处理。

示例:带安全头的响应

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Content-Security-Policy: default-src 'self'; script-src 'self'
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Cache-Control: no-store
Set-Cookie: session=abc123; HttpOnly; Secure; SameSite=Strict; Path=/

分析器把 Strict-Transport-Security、Content-Security-Policy、X-Content-Type-Options、Referrer-Policy 归入安全类;Cache-Control 落入缓存,Content-Type 落入内容,Set-Cookie 落入 Cookie。每张卡片含一行说明与若干提示——例如 Set-Cookie 缺少 HttpOnly 时会触发警告。

示例:CORS 预检

OPTIONS /api/v1/orders HTTP/1.1
Host: api.example.com
Origin: https://app.example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Authorization, Content-Type

识别为请求。Access-Control-Request-* 是预检标志,分析器突出显示 Origin,并列出请求的方法与头部。配合响应端使用,可端到端定位 CORS 握手问题。

类别一览

  • 状态行 — 首行(状态行或方法行)。
  • 安全 — HSTS、CSP、X-Frame-Options、COOP/COEP/CORP、Permissions-Policy、Fetch metadata。
  • 缓存 — Cache-Control、ETag、Vary、Expires、Last-Modified、条件请求头。
  • 内容 — Content-Type、Content-Encoding、Accept-*、Content-Disposition。
  • CORS — Access-Control-* 与 Origin。
  • 鉴权 — Authorization、WWW-Authenticate、Proxy-Authenticate。
  • Cookie — Cookie 与 Set-Cookie。
  • 传输 / 范围 / 代理 / 通用 / 自定义 — 其他类别;X-* 未知头部归入自定义。

合规提示规则

提示保守,只标出明显的配置错误,不做主观风格点评。例如:

  • HSTS max-age 小于 1 年,或缺少 includeSubDomains / preload。
  • CSP 含 ‘unsafe-inline’‘unsafe-eval’
  • Set-Cookie 缺少 HttpOnly 或 Secure。
  • Access-Control-Allow-Credentials: true 配 * 通配 Origin(规范禁止)。
  • Cache-Control 同时含 no-store 与 max-age(max-age 实际无效)。

相关工具

FAQ

工具会把头部发送到服务器吗?

不会。所有解析与分析都在浏览器内通过内联 JavaScript 完成,不上传任何内容。可以放心粘贴 Authorization、Set-Cookie 等敏感生产头部。

可以直接从 URL 抓取头部吗?

按设计不可以。抓取 URL 需要后端,并且容易被滥用。请从 curl -I、fetch -v、浏览器 DevTools 网络面板或任意 HTTP 客户端复制头部后再粘贴。本工具承担分析这一步,抓取是上一步。

如何区分请求和响应?

读取首行。HTTP/x.x 后跟状态码 → 响应;方法(GET、POST 等)+ 路径 + HTTP/x.x → 请求。两者都不匹配时按纯头部处理,全部行解析为头部。

会检查哪些安全头?

覆盖 Strict-Transport-Security、Content-Security-Policy、X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、Set-Cookie 标志、Cross-Origin-* 系列以及 CORS Allow-Origin / Allow-Credentials 组合的存在与配置。

如何处理重复头部和折行?

重复同名头部在分类视图中保留为独立条目,JSON 视图中折叠为数组(保留顺序)。HTTP/1.1 obs-fold 折行(以空白开头的行)按 RFC 7230 并入上一条头部。

解析结果可以导出吗?

点击复制 JSON 即可。单值头部为字符串,重复头部为数组(保留顺序)。状态行收录在 _status 键下。