检查响应标头、重定向和安全性
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据HTTP 响应头揭示了 Web 服务器的行为:它返回的状态码、跳转目标、运行的软件,以及发送了哪些安全加固头。缺少 HSTS、Content-Security-Policy 或 X-Frame-Options 等头部,会让站点暴露于降级、注入和点击劫持攻击之下。IPeek 会跟踪完整的重定向链,并对照关键安全头对响应进行评级。
每个 HTTP 响应都以一个状态码和一组头部开头,然后才是页面正文。状态码告诉客户端发生了什么:200 表示成功,301 和 302 表示资源已移动,404 表示未找到,5xx 表示服务器出错。头部携带元数据,如 Content-Type、Server、Cache-Control,以及指示浏览器如何处理页面的安全指令。IPeek 请求该 URL,按服务器原样捕获这些头部,并跟踪每一次重定向,让你看到通往最终响应的完整路径。
先确认最终状态码是否符合预期,对在线页面通常是 200。然后梳理重定向链:一个干净的配置会以尽可能少的跳数把 HTTP 跳转到 HTTPS、把非规范主机跳转到规范主机,因为每多一次重定向都会增加延迟。留意重定向循环或落到错误主机的链路。Server 头揭示所用软件,而安全头评级让你一眼看出哪些防护头部存在、哪些缺失。
Strict-Transport-Security(HSTS)强制浏览器使用 HTTPS,防止降级攻击。Content-Security-Policy 限制脚本和资源可从何处加载,是抵御跨站脚本最强的防御。X-Frame-Options 或 CSP 的 frame-ancestors 指令通过控制谁能嵌入你的页面来阻止点击劫持。X-Content-Type-Options: nosniff 阻止 MIME 嗅探。最常见的缺口就是站点这些都不提供,让浏览器得不到任何额外保护。请在 Web 服务器或 CDN 处添加它们,然后重新检查,确认它们出现在实时响应中。
在部署后、更换 CDN 或反向代理后,以及每次加固站点安全态势时都应检查头部,因为这些时刻头部最容易被添加、丢弃或覆盖。这是确认 HTTP 到 HTTPS 重定向是否真正生效、调试意外重定向链,或验证你配置的安全头是否抵达真实浏览器(而非在分发路径某处被剥离)的最快方式。
它显示站点返回的状态码、重定向链、服务器软件和安全头。你能看到该 URL 是否正确跳转、经过多少跳、由哪个服务器响应,以及 HSTS 和 Content-Security-Policy 等防护头部是存在还是缺失。这使它成为路由问题和安全缺口的快速诊断工具。
HTTP Strict-Transport-Security 是一个告诉浏览器在设定时段内只通过 HTTPS 连接的头部。它之所以重要,是因为能防止降级和中间人攻击——攻击者借此强迫建立不安全的 HTTP 连接。浏览器一旦看到 HSTS,在策略过期前就会拒绝对该主机使用明文 HTTP,从而关闭一个真实的攻击窗口。
重定向链通常是因为各条独立规则各修一处而层层叠加:HTTP 转 HTTPS、非 www 转 www、以及尾部斜杠规范化。每一跳都增加延迟和出错机会。在可能的情况下,把它们合并成一次跳转到最终规范 URL,并留意两条规则把请求来回踢导致的循环。
至少应发送 Strict-Transport-Security、Content-Security-Policy、X-Content-Type-Options: nosniff,以及通过 X-Frame-Options 或 CSP frame-ancestors 实现的框架保护。HSTS 强制 HTTPS,CSP 限制脚本注入,nosniff 阻止 MIME 混淆,框架保护阻止点击劫持。它们共同覆盖了最常见的浏览器端攻击类型,而且只需在服务器或 CDN 处设置一次。
301 是永久重定向,302 是临时重定向。301 告诉浏览器和搜索引擎资源已永久迁移,于是它们更新书签并把排名权重传递给新 URL。302 表示迁移是临时的,因此客户端继续使用原 URL。规范化和 HTTPS 重定向请使用 301。