kadirbg/headerlab

# or framework name and keep it in English. 现代 Web 安全工具包 —— 为开发者和安全工程师提供免费、快速、注重隐私的工具。 **在线访问：** [headerlab.dev](https://headerlab.dev) ## 工具 - **[HTTP 安全头部检查器](https://headerlab.dev/headers)** — 检查任意 URL 中缺失/配置错误的安全头部。提供严重性分级的检查结果，并附带可直接复制的 Nginx、Apache 和 Cloudflare 修复代码片段。 - **[CSP 构建器](https://headerlab.dev/csp)** — 使用可视化编辑器构建严格的内容安全策略。包含 11 个指令、4 种模板（严格/平衡/宽松/空白），并提供实时预览。 - **[CSP 评估器](https://headerlab.dev/csp-evaluator)** — 审计任何内容安全策略的弱点、缺失指令及已知的绕过模式。涵盖 15 项以上不同严重等级的弱点检查。 - **[JWT 解码器](https://headerlab.dev/jwt)** — 解码 JSON Web Token 并分析其安全隐患（如 `alg=none`、缺少过期时间、生命周期过长、载荷中包含敏感数据）。 ## 与众不同之处 - **隐私优先。** 无需账户，无追踪，不存储 URL。仅使用无 Cookie 的聚合分析。 - **开源。** MIT 许可证。可查看引擎代码、复刻项目、参与贡献。 - **无广告、无追踪器。** 工具尽可能在客户端运行。发送到服务器的 URL 会实时处理后即被丢弃。 - **诚实评分。** HeaderLab 不会扫描自身域名 —— 具体原因请参见[方法论](https://headerlab.dev/methodology)。 ## 技术栈 - [Astro](https://astro.build/) — 静态优先，服务端渲染的 API 路由 - TypeScript（严格模式） - [Cloudflare Workers](https://workers.cloudflare.com/) 托管 - 分析引擎（`src/lib/`）零运行时依赖 ## 本地开发 ``` git clone https://github.com/kadirbg/headerlab.git cd headerlab npm install npm run dev ``` 在 `http://localhost:4321` 上打开。 ## 文档 - [关于](https://headerlab.dev/about) — 项目背景与原则 - [方法论](https://headerlab.dev/methodology) — 评分机制、权重与原理说明 - [隐私政策](https://headerlab.dev/privacy) ## 参与贡献 欢迎提交问题和拉取请求。对于较大的改动，请先[开一个问题](https://github.com/kadirbg/headerlab/issues)讨论方向。 ## 许可证 MIT — 详见 [LICENSE](./LICENSE)。

标签：Astro, CodeQL, CSP构建, CSP评估, HTTP安全头部, JSON Web Token, JWT解码, TypeScript, Web安全工具包, 二进制发布, 免费服务, 内容安全策略, 前端安全, 后端安全, 在线安全工具, 威胁情报, 安全工程师工具, 安全扫描, 安全插件, 安全评估工具, 安全配置检查, 客户端安全, 开发者工具, 开源工具, 时序注入, 程序员工具, 网站安全, 网络安全, 网络安全, 规则仓库, 隐私优先, 隐私保护, 隐私保护, 静态网站