技能 security-headers
🛡️

security-headers

低风险 🌐 网络访问⚙️ 外部命令

تحليل وتنفيذ رؤوس أمان HTTP

غالباً ما يتم شحن تطبيقات الويب بدون رؤوس أمان حرجة، مما يجعلها عرضة لهجمات XSS واختراق النقرات وسرقة البيانات. توفر هذه المهارة إرشادات متخصصة لتحليل تكوينات الرؤوس الحالية وتنفيذ رؤوس أمان شاملة مصممة خصيصاً لمكدسك التقني.

支持: Claude Codex Code(CC)
⚠️ 65
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“security-headers”。 Analyze these headers: X-Content-Type-Options: nosniff, X-Frame-Options: DENY

预期结果:

  • الرؤوس الموجودة: X-Content-Type-Options, X-Frame-Options
  • رؤوس حرجة مفقودة: Content-Security-Policy, Strict-Transport-Security, Permissions-Policy
  • درجة الأمان: C (50/100) - حماية أساسية موجودة tetapi مفاتيح دفاع مفقودة
  • إجراءات فورية: إضافة CSP لمنع هجمات XSS، تفعي�� HSTS لفرض HTTPS

正在使用“security-headers”。 Create CSP for my React app that uses Google Fonts and analytics

预期结果:

  • CSP الموصى به: default-src 'self'; script-src 'self' 'unsafe-inline' https://www.google-analytics.com
  • مصادر الخطوط: font-src 'self' https://fonts.gstatic.com
  • مصادر الصور: img-src 'self' data: https:
  • ملاحظة:可以考虑使用基于 nonce 的脚本以消除 'unsafe-inline' 以获得更好的安全性

安全审计

低风险
v5 • 1/16/2026

Pure documentation skill containing defensive security guidance for HTTP headers. Static scanner detected patterns in markdown examples and educational attack vectors, but this is a legitimate security education resource with no executable code or malicious intent. All findings are false positives from scanning documentation rather than actual vulnerabilities.

2
已扫描文件
1,224
分析行数
2
发现项
5
审计总数

风险因素

🌐 网络访问 (53)
skill-report.json:6 SKILL.md:297 SKILL.md:531 SKILL.md:537 SKILL.md:654 SKILL.md:687 SKILL.md:52 SKILL.md:52 SKILL.md:52 SKILL.md:152 SKILL.md:164 SKILL.md:167 SKILL.md:170 SKILL.md:173 SKILL.md:179 SKILL.md:182 SKILL.md:188 SKILL.md:191 SKILL.md:199 SKILL.md:297 SKILL.md:300 SKILL.md:306 SKILL.md:322 SKILL.md:333 SKILL.md:338 SKILL.md:371 SKILL.md:410 SKILL.md:466 SKILL.md:531 SKILL.md:537 SKILL.md:548 SKILL.md:549 SKILL.md:585 SKILL.md:654 SKILL.md:657 SKILL.md:670 SKILL.md:687 SKILL.md:693 SKILL.md:711 SKILL.md:717 SKILL.md:718 SKILL.md:721 SKILL.md:722 SKILL.md:741 SKILL.md:744 SKILL.md:772 SKILL.md:841 SKILL.md:875 SKILL.md:875 SKILL.md:910 SKILL.md:921 SKILL.md:928 SKILL.md:936
⚙️ 外部命令 (147)
SKILL.md:51-53 SKILL.md:53-56 SKILL.md:56-57 SKILL.md:57-58 SKILL.md:58-59 SKILL.md:59-60 SKILL.md:60-61 SKILL.md:61-62 SKILL.md:62-63 SKILL.md:63-64 SKILL.md:64-65 SKILL.md:65-70 SKILL.md:70-72 SKILL.md:72-75 SKILL.md:75-76 SKILL.md:76-77 SKILL.md:77-82 SKILL.md:82-84 SKILL.md:84-87 SKILL.md:87-88 SKILL.md:88-89 SKILL.md:89-94 SKILL.md:94-96 SKILL.md:96-101 SKILL.md:101-103 SKILL.md:103-110 SKILL.md:110-112 SKILL.md:112-115 SKILL.md:115-116 SKILL.md:116-117 SKILL.md:117-118 SKILL.md:118-119 SKILL.md:119-120 SKILL.md:120-121 SKILL.md:121-122 SKILL.md:122-127 SKILL.md:127-129 SKILL.md:129-134 SKILL.md:134-136 SKILL.md:136-139 SKILL.md:139-141 SKILL.md:141-144 SKILL.md:144-146 SKILL.md:146-150 SKILL.md:150-157 SKILL.md:157-162 SKILL.md:162-174 SKILL.md:174-177 SKILL.md:177-183 SKILL.md:183-186 SKILL.md:186-192 SKILL.md:192-196 SKILL.md:196-240 SKILL.md:240-242 SKILL.md:242-254 SKILL.md:254-256 SKILL.md:256-269 SKILL.md:269-271 SKILL.md:271-293 SKILL.md:293-302 SKILL.md:302-305 SKILL.md:305-307 SKILL.md:307-312 SKILL.md:312-329 SKILL.md:329-332 SKILL.md:332-334 SKILL.md:334-337 SKILL.md:337-339 SKILL.md:339-342 SKILL.md:342-351 SKILL.md:351-370 SKILL.md:370-375 SKILL.md:375-378 SKILL.md:378-380 SKILL.md:380-385 SKILL.md:385-391 SKILL.md:391-394 SKILL.md:394-396 SKILL.md:396-399 SKILL.md:399-401 SKILL.md:401-409 SKILL.md:409-415 SKILL.md:415-439 SKILL.md:439-441 SKILL.md:441-446 SKILL.md:446-453 SKILL.md:453-456 SKILL.md:456-458 SKILL.md:458-461 SKILL.md:461-467 SKILL.md:467-478 SKILL.md:478-480 SKILL.md:480-483 SKILL.md:483-488 SKILL.md:488-491 SKILL.md:491-492 SKILL.md:492-493 SKILL.md:493-504 SKILL.md:504-506 SKILL.md:506-520 SKILL.md:520-523 SKILL.md:523-529 SKILL.md:529-542 SKILL.md:542-545 SKILL.md:545-560 SKILL.md:560-563 SKILL.md:563-580 SKILL.md:580-583 SKILL.md:583-593 SKILL.md:593-604 SKILL.md:604-606 SKILL.md:606-613 SKILL.md:613-625 SKILL.md:625-652 SKILL.md:652-658 SKILL.md:658-669 SKILL.md:669-674 SKILL.md:674-685 SKILL.md:685-695 SKILL.md:695-706 SKILL.md:706-712 SKILL.md:712-715 SKILL.md:715-723 SKILL.md:723-731 SKILL.md:731-733 SKILL.md:733-739 SKILL.md:739-746 SKILL.md:746-758 SKILL.md:758-760 SKILL.md:760-765 SKILL.md:765-767 SKILL.md:767-770 SKILL.md:770-776 SKILL.md:776-784 SKILL.md:784-786 SKILL.md:786-796 SKILL.md:796-800 SKILL.md:800-808 SKILL.md:808-811 SKILL.md:811-821 SKILL.md:821-837 SKILL.md:837-894 SKILL.md:894-897 SKILL.md:897-938 SKILL.md:938-969 SKILL.md:969-985 SKILL.md:985-1034
审计者: claude 查看审计历史 →

质量评分

38
架构
100
可维护性
87
内容
20
社区
90
安全
70
规范符合性

你能构建什么

تنفيذ رؤوس الأمان

إضافة رؤوس CSP و HSTS و X-Frame-Options لحماية تطبيقات الويب من الهجمات الشائعة.

تكوين رؤوس الخادم

إعداد رؤوس الأمان في تكوينات Nginx أو Apache أو Express.js مع مقتطفات كود جاهزة للإنتاج.

تدقيق تكوينات الرؤوس

مراجعة رؤوس HTTP مقابل توصيات OWASP ومعايير الامتثال مثل PCI-DSS.

试试这些提示

تحليل الرؤوس 
تحليل رؤوس استجابة HTTP التالية بحثاً عن مشكلات الأمان وتقديم التوصيات: [الصق الرؤوس هنا]
إنشاء CSP 
إنشاء رأس Content-Security-Policy لتطبيق ويب يقوم بتحميل النصوص البرمجية من_self و CDN موثوق، والأنماط من_self مع السماح بالسطر المضمن، والصور من_self و data URIs، والاتصال بنقطة نهاية API محددة.
إصلاح مشكلات CORS 
مراجعة تكوين CORS التالي بحثاً عن مشكلات الأمان واقتراح التحسينات: [الصق كود CORS هنا]
تنفيذ HSTS 
أظهر لي كيفية تنفيذ رأس Strict-Transport-Security لـ [Express.js/Nginx/Apache] مع توجيهات preload و includeSubDomains.

最佳实践

  • ابدأ CSP في وضع التقرير فقط لتحديد الانتهاكات قبل التطبيق
  • استخدم allowances للنصوص البرمجية المستندة إلى nonce أو hash بدلاً من unsafe-inline
  • نفّذ HSTS مع includeSubDomains فقط بعد التحقق من عمل HTTPS على جميع النطاقات الفرعية

避免

  • استخدام wildcard لأصول CORS مع تفعيل الاعتمادات
  • نشر CSP دون اختباره في وضع التقرير فقط أولاً
  • الاحتفاظ برؤوس متقادمة مثل X-XSS-Protection بدلاً من استخدام CSP

常见问题

هل تفحص هذه المهارة موقعي؟
لا. توفر هذه المهارة إرشادات وأمثلة كود. يجب عليك مشاركة رؤوسك يدوياً أو إجراء مسح خاص بك.
ما الخوادم المدعومة؟
يتم توفير أمثلة التكوين لـ Express.js و Nginx و Apache وخوادم HTTP العامة.
هل تتحقق من معايير الامتثال؟
نعم. تشير إلى توصيات OWASP ومتطلبات رؤوس الأمان لـ PCI-DSS و HIPAA.
هل بياناتي آمنة؟
نعم. هذه مهارة تعتمد على الطلبات وليس لديها وصول للشبكة أو قدرات تنفيذ الكود.
لماذا تحدث انتهاكات CSP الخاصة بي؟
الأسباب الشائعة تشمل النصوص البرمجية المضمنة والموارد الخارجية غير المسموح بها والتوليد الديناميكي للنصوص البرمجية.
هل يعمل هذا مع شبكات CDN؟
نعم. يمكن تكوين الرؤوس على مستوى CDN (Cloudflare و AWS CloudFront و Fastly) باستخدام الأمثلة المقدمة.

开发者详情

许可证

MIT

仓库

https://github.com/CuriousLearner/devkit/tree/main/skills/security-headers

引用

main

文件结构

📄 SKILL.md