OWASP/www-project-secure-headers

GitHub: OWASP/www-project-secure-headers

OWASP官方维护的HTTP安全响应头知识库项目，提供全面的安全头配置指南、自动化验证工具和全球采用统计数据。

Stars: 186 | Forks: 45

![OSHP Logo](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/1777fed9e3085224.png) [![OWASP Production](https://img.shields.io/badge/owasp-production%20project-800080.svg)](https://www.owasp.org/projects) # 简介 📦 本仓库包含 **OWASP Secure Headers Project**（也称为 **OSHP**）的所有内容。 🎯 OSHP 描述了你的应用程序可以使用的 HTTP 响应头，以增强应用程序的安全性。一旦设置，这些 HTTP 响应头可以限制现代浏览器遭遇那些容易预防的漏洞。OSHP 旨在提高人们对这些标头的认识和使用。 # OSHP 生态系统 🗺️ OSHP 项目由以下项目组成： * **Main site**：这是 OSHP 的核心，提供有关 HTTP 安全头的信息 * 称为 `mainsite`。 * **Validator**：Venom 测试套件，用于根据 OSHP 建议验证 HTTP 安全响应头配置。 * 称为 `validator`。 * 内容在[这里](subprojects/validator/)。 * **Statistics**：关于 OSHP 提到的 HTTP 响应安全头使用情况的统计数据。 * 称为 `statistics`。 * 内容在[这里](subprojects/statistics/)。 ## 仓库结构 * 仓库的基础包含 **main site**。 * 其他项目存储在文件夹 [subprojects](subprojects/) 中：每个子项目都有自己的文件夹。 * 项目官方标志存储在文件夹 [logo](logo) 以及 [OWASP Swag](https://github.com/OWASP/owasp-swag) GitHub 仓库中。 * 文件夹 [ci](ci)（**CI** 代表 **C**ontinuous **I**ntegration，即持续集成）包含使用 GitHub actions [workflows](.github/workflows/) 生成或更新内容的材料。 ## GitHub Actions 📝 使用的命名约定是 `[project_call_name]_[action]_[target].yml`，其中： * `[project_call_name]` 是上面定义的项目调用名称。 * `[action]` 可以是 `(validate|monitor|generate)`。 🔋 健康状态： |Status|File| | :--- | :--- | |![mainsite_generate_headers-json-files.yml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/ff49ab7e6b085225.svg)|[📄](.github/workflows/mainsite_generate_headers-json-files.yml)| |![mainsite_generate_tab-stats-related-files.yml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/59a7218cf8085226.svg)|[📄](.github/workflows/mainsite_generate_tab-stats-related-files.yml)| |![mainsite_generate_technical-references-dashboard.yml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/3eaf3156b5085227.svg)|[📄](.github/workflows/mainsite_generate_technical-references-dashboard.yml)| |![mainsite_monitor_oshp-site-references.yml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/a7950c3506085228.svg)|[📄](.github/workflows/mainsite_monitor_oshp-site-references.yml)| |![mainsite_validate_external-links.yml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/b586da79a4085229.svg)|[📄](.github/workflows/mainsite_validate_external-links.yml)| |![mainsite_validate_owasp-nest-metadata.yaml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/365e7b9bf4085229.svg)|[📄](.github/workflows/mainsite_validate_owasp-nest-metadata.yaml)| |![statistics_generate_datasource.yml](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/b8a8d66f14085230.svg)|[📄](.github/workflows/statistics_generate_datasource.yml)| |![validator_validate_tests-suite.yml](https://github.com/OWASP/www-project-secure-headers/actions/workflows/validator_validate_tests-suite.yml/badge.svg)|[📄](.github/workflows/validator_validate_tests-suite.yml)| ## Issue 和讨论 💬 两者均使用以下 GitHub 功能进行处理： * [Issues](https://github.com/OWASP/www-project-secure-headers/issues)。 * [Discussions](https://github.com/OWASP/www-project-secure-headers/discussions)。 ## 内容编辑器 👩‍💻 内容编辑使用 [Visual Studio Code](https://code.visualstudio.com/) 完成。 📦 提供了一个 [workspace 文件](project.code-workspace) 以及[推荐的扩展](.vscode/extensions.json)。 ## 社交媒体宣传 📩 此模板用于在社交媒体上宣布有关 OSHP 更新的新闻： ``` 📡 OWASP Secure Headers Project: [MESSAGE]. #appsec #appsecurity #owasp_shp [PRINT_SCREEN_IN_PNG_FORMAT_WHEN_APPLICABLE] 📖 [LINK_TO_OSHP_SECTION] 💡 Source used: [LINK_TO_SOURCE_USED] ``` ## 许可证 📑 本项目内容可免费使用。它基于 [Apache 2.0 License](LICENSE.txt) 授权。

标签：CSP, DevSecOps, DNS解析, GitHub Advanced Security, Homebrew安装, HSTS, HTTP安全头, Web安全, X-Frame-Options, 上游代理, 信息泄露防护, 内容安全策略, 响应头, 安全加固, 安全最佳实践, 安全标准, 安全测试, 安全配置, 开源项目, 攻击性安全, 渗透测试框架, 网络安全, 蓝队分析, 规则仓库, 逆向工具, 防御, 防御加固, 隐私保护, 验证器