# Verificador de Cabeçalhos de Segurança HTTP > Verificador gratuito de cabeçalhos de segurança HTTP no modo colar para localhost, staging e ambientes privados. Analise cabeçalhos sem buscar uma URL pública. - **Category:** Desenvolvedor - **URL:** https://www.teafun.cyou/tools/http-headers-checker/ - **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking. - **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers - **Related tools:** [Formatador de Logs](https://www.teafun.cyou/tools/log-formatter/), [Decodificador JWT](https://www.teafun.cyou/tools/jwt-decoder/), [Formatador e Validador de JSON](https://www.teafun.cyou/tools/json-formatter/) - **Tags:** Data, Security ## About Cole os cabeçalhos de resposta brutos ou a saída de curl -I para revisar cabeçalhos de segurança comuns localmente, incluindo CSP, HSTS e COOP. ## Como usar o verificador de cabeçalhos de segurança HTTP Execute `curl -sI https://your.endpoint/` ou copie de DevTools -> Network -> Headers -> Response. Cole o bloco completo incluindo a linha de status (`HTTP/2 200`). O verificador tolera redirecionamentos (`301`/`302`/`307`/`308`) e pontua a resposta final. Cada cabeçalho é avaliado contra o valor recomendado pela OWASP: Aprovado (corresponde à recomendação), Aviso (presente mas fraco — p.ex., HSTS `max-age=300` é muito curto para ser efetivo), Falha (ausente ou ativamente inseguro — p.ex., `Access-Control-Allow-Origin: *` com endpoints que requerem credenciais). O relatório vincula cada descoberta aos documentos MDN relevantes e à folha de cola OWASP. Uma armadilha comum: definir tanto `X-Frame-Options: DENY` quanto `Content-Security-Policy: frame-ancestors 'none'` é redundante mas não está errado — `frame-ancestors` prevalece em navegadores modernos, X-Frame-Options permanece para legado. CSP `'unsafe-inline'` em `script-src` compromete a política de proteção XSS; marcado como Falha mesmo se o resto do CSP é sólido. ## Por que os cabeçalhos de segurança HTTP importam Cabeçalhos de segurança ausentes são a descoberta mais comum em testes de penetração porque são invisíveis: um site pode servir o HTML correto e ainda falhar uma auditoria porque os cabeçalhos de resposta estão errados. PCI DSS 4.0 (março de 2025), SOC 2 Trust Service Criteria e ISO 27001:2022 Annex A 8.26 todas sinalizam CSP / HSTS / X-Frame-Options ausentes como lacunas de controle. O custo de corrigir é uma linha em seu proxy reverso (`add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;` no nginx, um bloco em `vercel.json` headers, três linhas em Cloudflare Workers) — mas não descoberto até que um auditor ou comunicado de segurança de um concorrente o revele. A verificação de cabeçalhos integrada em CI detecta regressões: um deploy que inverte seu CSP de `default-src 'self'` para `default-src *` porque alguém depurando copiou-colou a regra errada. Executar os cabeçalhos através deste verificador antes de mesclar o PR de deploy detecta a diferença. _SEO title: Verificador de Cabeçalhos de Segurança HTTP – Modo Colar | TeaFun_ ## FAQ ### Posso colar cabeçalhos de localhost ou staging? Sim. Esta ferramenta foi feita para o modo colar, então você pode revisar cabeçalhos de localhost, staging interno ou qualquer ambiente privado sem expor a URL. ### Por que não buscar a URL diretamente? Buscar uma URL falharia para muitos ambientes privados e poderia vazar endpoints internos. O modo colar mantém o fluxo de trabalho privado e funciona em qualquer lugar em que o curl ou o devtools do navegador possam copiar cabeçalhos. ### Uma pontuação alta garante segurança? Não. O verificador destaca cabeçalhos de resposta comuns e configurações incorretas comuns, mas não é uma auditoria completa de segurança de aplicação.