HSTS/HPKP 检测 - HTTPS 安全头分析

URL 地址

仅支持 HTTPS，建议输入主域名

检测说明

HSTS 仅对 HTTPS 生效

HPKP 已被废弃，仅做历史检测

准备就绪

HSTS 可以强制浏览器使用 HTTPS 访问站点，避免降级攻击与混合内容风险。开启后浏览器会在 max-age 时间内始终使用 HTTPS，并可通过 includeSubDomains 覆盖子域名。HPKP 已被主流浏览器废弃，仅用于历史检测。本工具可帮助你确认安全头是否生效，避免配置遗漏。

如果计划提交 HSTS preload，务必确保全站 HTTPS 正常且 max-age 足够大，同时覆盖子域名。

HSTS 为空？

说明未配置 Strict-Transport-Security，需在服务器返回头中添加。

max-age 多大合适？

建议至少 15552000（180 天）或更高。

HPKP 为什么不推荐？

配置错误会导致浏览器无法访问站点。

会保存检测记录吗？

不会，检测仅即时使用。

HSTS / HPKP 检测