Thêm game tại WuGames.ioTài trợKhám phá kho game trình duyệt miễn phí — chơi ngay, không tải, không đăng ký.Chơi ngay
Công cụ Phân tích Phân tíchCông cụ Xem XemCông cụ Lập trình viên Lập trình viênCông cụ Bảo mật Bảo mật

Xem HTTP Header

Xem HTTP header kèm thẻ điểm bảo mật: chấm điểm A+ đến F cho HSTS, CSP, X-Frame-Options, CORS, và xem cả header request của bạn.

Request Headers Của Bạn
Không có headers
info Lưu ý: Hầu hết websites chặn CORS. Dùng DevTools của trình duyệt (F12 → Network) để xem đầy đủ headers.

Xem HTTP Header - Kiểm Tra và Phân Tích HTTP Headers Trực Tuyến

Header HTTP là metadata đi kèm mỗi request và response web — phần bạn không bao giờ thấy trong thanh địa chỉ trình duyệt nhưng điều khiển cách hoạt động của cache, script nào có thể load, cookies có sống sót qua reload không, trang web có thể nhúng trong iframe không, dùng phương pháp nén nào, và cách trình duyệt diễn giải body phản hồi. Công cụ này phơi bày cả hai phía cuộc đối thoại: ở một panel bạn thấy header request của CHÍNH trình duyệt bạn (User-Agent, Accept, Accept-Encoding, Cookie, Sec-Fetch-*, Sec-CH-UA — các Client Hints mới đang dần thay thế User-Agent), và panel còn lại bạn có thể fetch bất kỳ URL HTTP/HTTPS và kiểm tra response header của nó (status code với reason phrase chuẩn, Content-Type với charset, quy tắc Cache-Control, Set-Cookie với mọi cờ bảo mật, chính sách Strict-Transport-Security, chỉ thị Content-Security-Policy, X-Frame-Options bảo vệ clickjacking, Access-Control-Allow-Origin cấu hình CORS, vân tay phần mềm server). Hữu ích để debug tích hợp API, xác thực bảo mật (kiểm tra trang gửi HSTS và CSP nghiêm ngặt), đảo ngược kỹ thuật hành vi cache, hoặc học cách lớp giao thức web thực sự hoạt động. Mục tiêu bị CORS chặn là phổ biến — thông báo sẽ cho biết khi nào điều này xảy ra, và trong trường hợp đó tab Network của DevTools trình duyệt vẫn là phương án dự phòng.

HTTP Headers là gì?

HTTP headers là metadata được gửi giữa client (trình duyệt) và server trong các HTTP requests và responses. Chúng chứa thông tin quan trọng về:

- Chi tiết request (loại trình duyệt, định dạng chấp nhận, xác thực)
- Chi tiết response (loại nội dung, quy tắc caching, cookies)
- Chính sách bảo mật (CORS, CSP, X-Frame-Options)
- Mã hóa và nén nội dung
- Quản lý kết nối

Headers rất quan trọng cho giao tiếp web đúng cách và ảnh hưởng đến cách trình duyệt xử lý nội dung.

Làm thế nào để sử dụng công cụ này?

Sử dụng công cụ rất đơn giản:

1. Xem request headers hiện tại của bạn trong phần 'Request Headers Của Bạn'
2. Để kiểm tra headers của URL, nhập nó vào trường URL
3. Nhấp 'Kiểm Tra Headers' để lấy response headers
4. Xem lại status code, headers và giá trị

Lưu ý: Do giới hạn CORS (Cross-Origin Resource Sharing), một số website có thể chặn yêu cầu headers từ trình duyệt. Đây là hành vi bảo mật bình thường.

Request Headers là gì?

Request headers được gửi bởi trình duyệt đến server và bao gồm:

- User-Agent: Thông tin trình duyệt và hệ điều hành
- Accept: Các loại nội dung trình duyệt có thể xử lý
- Accept-Language: Ngôn ngữ ưu tiên
- Accept-Encoding: Phương thức nén được hỗ trợ
- Cookie: Cookies đã lưu cho domain
- Referer: URL trang trước
- Authorization: Thông tin xác thực

Những headers này giúp servers hiểu khả năng và sở thích của client.

Response Headers là gì?

Response headers được gửi bởi server và bao gồm:

- Status Code: Kết quả của request (200 OK, 404 Not Found, v.v.)
- Content-Type: Loại nội dung được trả về
- Content-Length: Kích thước response body
- Set-Cookie: Cookies cần lưu
- Cache-Control: Hướng dẫn caching
- Access-Control-*: Quyền CORS
- Server: Phần mềm web server

Response headers cho trình duyệt biết cách xử lý nội dung nhận được.

Lỗi CORS nghĩa là gì?

CORS (Cross-Origin Resource Sharing) là cơ chế bảo mật ngăn trình duyệt thực hiện requests đến domains khác với domain đang phục vụ trang. Khi bạn thấy lỗi CORS:

- Server đích không cho phép cross-origin requests
- Đây là hành vi bảo mật có chủ ý
- Không phải lỗi của công cụ này hay trình duyệt bạn
- Nhiều websites chặn CORS vì lý do bảo mật

Để xử lý CORS:
- Dùng browser extensions tắt CORS (chỉ để test)
- Test với URLs có CORS được bật
- Dùng công cụ server-side cho production testing
- Kiểm tra headers thực tế bằng DevTools của trình duyệt (F12 → tab Network)

Xem HTTP Header — Xem HTTP header kèm thẻ điểm bảo mật: chấm điểm A+ đến F cho HSTS, CSP, X-Frame-Options, CORS, và xem cả header request
Xem HTTP Header

Mọi website hiện đại nên gửi những header bảo mật nào?

Mức tối thiểu năm 2026 bao gồm bảy header. (1) Strict-Transport-Security (HSTS): ép HTTPS trong một năm tới — 'max-age=31536000; includeSubDomains; preload'. (2) Content-Security-Policy: danh sách trắng nguồn script/style/image được phép — bắt đầu với 'default-src 'self'' và thắt chặt từ đó. (3) X-Content-Type-Options: 'nosniff' — ngăn tấn công MIME-sniffing khi trình duyệt cố đoán liệu .txt có thực sự là JS không. (4) X-Frame-Options: 'DENY' hoặc 'SAMEORIGIN' — chặn trang của bạn bị frame bởi kẻ tấn công (clickjacking). (5) Referrer-Policy: 'strict-origin-when-cross-origin' — giới hạn thông tin referrer lộ ra cho bên thứ ba. (6) Permissions-Policy: tắt các tính năng không dùng (camera, microphone, geolocation, USB). (7) Cross-Origin-Opener-Policy: 'same-origin' — bật bảo vệ Spectre và API crossOriginIsolated. Mozilla Observatory (observatory.mozilla.org) chấm điểm các header này; nhắm tới A+.

Tại sao một 200 OK chỉ hiển thị khoảng 6 header?

Đây là hành vi gây bối rối nhất của bất kỳ trình xem header chỉ chạy trên trình duyệt nào, và không phải lỗi. Khi fetch thành công với CORS nhưng server KHÔNG gửi header Access-Control-Expose-Headers, trình duyệt chỉ cho JavaScript đọc tập danh sách an toàn CORS: Cache-Control, Content-Language, Content-Type, Expires, Last-Modified và Pragma. Mọi thứ khác — Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, Set-Cookie, Server và phần còn lại — vẫn được gửi qua mạng và trình duyệt vẫn áp dụng, nhưng bị ẩn khỏi script vì lý do riêng tư/bảo mật. Vì vậy một trang hoàn toàn khỏe mạnh có thể trả về 200 OK mà chỉ phơi bày ~6 header đọc được ở đây. Khi phát hiện trường hợp này, chúng tôi hiển thị một ghi chú thông tin. Để kiểm tra đầy đủ (gồm cả các header bảo mật mà thẻ điểm cần), mở DevTools của trình duyệt (F12 → Network), nhấp vào request và đọc bảng Response Headers — DevTools không bị giới hạn bởi quy tắc Expose-Headers.

Điểm bảo mật của tôi nghĩa là gì và làm sao sửa header bị fail?

Sau khi fetch thành công, Thẻ Điểm Bảo Mật Header kiểm tra bảy header nền tảng và gán điểm tổng từ A+ đến F (mỗi header tính ngang nhau; một 'cảnh báo' bằng nửa điểm đạt). A+/A nghĩa là bạn đạt hoặc gần đạt mức bảo mật nền tảng 2026; B chấp nhận được nhưng nên cải thiện; C và D nghĩa là thiếu các bảo vệ quan trọng; F nghĩa là thiếu hầu hết header bảo mật. Mỗi dòng fail hoặc cảnh báo hiển thị gợi ý khắc phục một dòng với chỉ thị chính xác cần thêm. Cách sửa thường gặp: HSTS — gửi 'Strict-Transport-Security: max-age=31536000; includeSubDomains; preload' (max-age ngắn hơn chỉ được cảnh báo); CSP — bắt đầu với "default-src 'self'" rồi thắt chặt; X-Content-Type-Options — 'nosniff'; framing — 'X-Frame-Options: DENY' hoặc chỉ thị CSP 'frame-ancestors'; Referrer-Policy — 'strict-origin-when-cross-origin'; Permissions-Policy — tắt tính năng không dùng; Cross-Origin-Opener-Policy — 'same-origin'. Lưu ý: nếu CORS ẩn các header phản hồi (xem câu hỏi trước), thẻ điểm chỉ chấm được những gì nó đọc được, nên hãy kiểm chứng bằng DevTools để có kết quả đáng tin. Cách này phản chiếu chấm điểm của Mozilla Observatory, ngay tại chỗ và tức thì.

Tại sao IP/server khác nhau khi kiểm tra từ công cụ vs log server của tôi?

Vì request từ trình duyệt đi qua nhiều lớp trước khi đến server gốc. (1) NAT outbound của ISP dịch IP cục bộ của bạn thành public — server thấy IP public NAT, không phải địa chỉ tại nhà. (2) CDN edge (Cloudflare, Fastly, Akamai) kết thúc kết nối TLS tại điểm địa lý gần nhất — server thấy IP edge CDN, không phải khách. IP thật của khách, nếu được forward, nằm trong header X-Forwarded-For hoặc CF-Connecting-IP mà CDN chèn vào. (3) Reverse proxy (nginx, HAProxy) đứng trước app cũng che client tương tự. (4) Header Server trên hầu hết trang hiện đại được cố ý làm giả hoặc xóa — bảo mật qua che giấu. Để xem chuỗi thực, request một endpoint debug trên server của chính bạn echo lại đầy đủ header nó nhận, rồi so sánh với những gì công cụ này hiển thị khi rời trình duyệt.

Dữ liệu của tôi có an toàn không?

Có, dữ liệu của bạn hoàn toàn an toàn:

- Tất cả việc kiểm tra headers diễn ra trong trình duyệt của bạn
- Request headers của bạn được đọc từ chính trình duyệt
- Khi kiểm tra URLs, requests đi trực tiếp từ trình duyệt của bạn đến URL đó
- Không có dữ liệu nào được gửi đến servers của chúng tôi
- Không ghi log hay theo dõi URLs bạn kiểm tra
- Hoạt động offline cho việc xem headers của bạn

Công cụ hoàn toàn client-side, đảm bảo quyền riêng tư của bạn.

Tính Năng Chính

  • Xem HTTP request headers hiện tại của bạn
  • Kiểm tra response headers từ bất kỳ URL nào
  • Hiển thị HTTP status codes
  • Hiển thị tất cả các cặp key-value của headers
  • Phân tích CORS headers
  • Kiểm tra cache headers
  • Xem cookies và authentication headers
  • Hỗ trợ chế độ tối
  • Xử lý 100% phía client - dữ liệu không rời khỏi trình duyệt
  • Không cần đăng ký
  • Hoạt động với bất kỳ HTTP/HTTPS URL nào
  • Hiển thị headers rõ ràng, dễ đọc
  • Copy headers vào clipboard
  • Thẻ điểm bảo mật header kèm điểm chữ
  • Thiết kế responsive thân thiện với mobile
Xem thêm
Kiểm thử & Gỡ lỗiKIểM THử & Gỡ LỗI101
WuToolsWUTOOLS