BEACON 安全审计

对你网站进行一次简单、真实的安全审计。

Beacon 对你网站的 HTTP 安全态势进行一次被动检查 — HTTPS、HSTS、Content-Security-Policy 及其余 OWASP 安全响应头、Cookie 标志和 security.txt — 然后按 A–F 评级,附带发现的确切响应头以及如何修复每个缺口。

https://
OWASP 安全响应头CSP、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy — 对照最佳实践检查。
HTTPS 与 HSTS确认 HTTPS、http→https 重定向以及强健的 Strict-Transport-Security 策略。
A–F 评级采用 Mozilla Observatory / securityheaders.com 方法论的加权评分。
不泄露版本标记会向攻击者暴露软件版本的 Server / X-Powered-By 响应头。
Cookie 与 security.txt检查 Secure/HttpOnly/SameSite Cookie 标志,以及你是否发布了 /.well-known/security.txt。
可直接修复每个缺口都展示真实的响应头值,以及一行可加入行动计划的修复。

被动、诚实、无侵入式扫描

Beacon 只读取你网站的 HTTP 响应头 — 绝不探测、暴力破解或攻击。每项结果都展示发现的实际响应头值(或“未设置”),因此报告真实可复现,绝不编造。

我们检查什么

本审计遵循 OWASP Secure Headers Project 和 Mozilla Observatory。

  • HTTPS 服务 + HTTP → HTTPS 重定向
  • Strict-Transport-Security(HSTS)
  • Content-Security-Policy(CSP)
  • X-Content-Type-Options、X-Frame-Options / frame-ancestors
  • Referrer-Policy、Permissions-Policy
  • Cookie 标志:Secure、HttpOnly、SameSite
  • 软件版本泄露与 /.well-known/security.txt

它不能替代渗透测试

这是一次快速的态势检查,能捕捉最常见、高影响的配置错误。若需深入的渗透测试,请搭配专门的安全工具 — 但大多数网站只需这些修复,就能在一个下午内提升评级。

FAQ

在我的网站上运行它安全吗?

安全。它是一次只读取 HTTP 响应头的被动检查 — 没有侵入式扫描、探测或攻击。它有速率限制并遵守标准防护。

评级是如何计算的?

在 HTTPS/HSTS、OWASP 安全响应头、Cookie 标志和 security.txt 之间进行加权评分,映射到 A–F — 与 Mozilla Observatory 和 securityheaders.com 保持一致。

结果是真实的吗?

完全真实。每项检查都展示在你实时网站上发现的确切响应头值(或“未设置”)。Beacon 绝不展示编造的安全结果。

几秒内为你网站的安全评级

免费、被动、真实 — 附带确切修复。

免费开始 运行免费检测