許多網站的安全防線其實藏在HTTP回應標頭裡，像是CSP可以阻擋惡意腳本注入、HSTS強制使用HTTPS為防止中間人攻擊、X-Frame-Options阻擋點擊劫持，這些都是看得見、可以直接改善的低成本防護，用SecurityHeaders能快速判斷一個網站是否有基本防護。

• 動手試試
  首先進入此網站[SecurityHeaders]（https://securityheaders.com)
  在輸入框輸入你想檢查的網站，這邊我用的是yahoo
  點選Scan等待結果
  就可以看到結果頁的總分級A至F與每個Header的狀態

總分：B
HTTPS：有（max-age=31536000; includeSubDomains）
CSP：無
X-Frame-Options：有（DENY）
X-Content-Type-Options：有（nosniff）
Referrer-Policy：有（strict-origin-when-cross-origin）
Permissions-Policy：無

• 心得
  這次的檢查讓我發現大多數大型網站會得到比較好的分數，但也有不少網站連最基本的CSP或HSTS都沒有設定，這代表許多安全問題其實可以靠正確設定標頭就改善，對於小型網站或個人專案，添加這些header是低成本卻高效的安全強化方式，我覺得這個小實驗非常快、直觀，而且能馬上看到哪些設定需要改進。