Verificador de Cabeçalhos de Segurança HTTP
Cole os cabeçalhos de resposta brutos ou a saída de curl -I para revisar cabeçalhos de segurança comuns localmente, incluindo CSP, HSTS e COOP.
Cole os cabeçalhos de resposta brutos ou a saída de curl -I. Se redirecionamentos estiverem incluídos, o último bloco de resposta é pontuado.
Cole cabeçalhos de resposta HTTP brutos ou a saída de curl -I
O que é um verificador de cabeçalhos de segurança HTTP?
Um verificador de cabeçalhos de segurança HTTP analisa os cabeçalhos de resposta de um site para avaliar sua configuração de segurança. Navegadores modernos suportam múltiplos cabeçalhos de segurança que protegem contra ataques comuns — Content-Security-Policy previne cross-site scripting, Strict-Transport-Security impõe HTTPS, X-Frame-Options bloqueia ataques de clickjacking e Permissions-Policy controla o acesso às APIs do navegador. Esta ferramenta verifica esses cabeçalhos e reporta quais estão presentes, quais estão ausentes e se os valores seguem as melhores práticas recomendadas. A ferramenta fornece uma pontuação geral e recomendações concretas para cada cabeçalho ausente ou mal configurado.
Como usar o verificador de cabeçalhos de segurança HTTP
Insira a URL de um site e clique em analisar. A ferramenta obtém os cabeçalhos de resposta do site e os analisa contra as melhores práticas de segurança. Cada cabeçalho de segurança recebe uma nota — presente e bem configurado, presente mas fraco, ou ausente. O resumo mostra sua pontuação geral de segurança e lista as melhorias priorizadas. Para cada cabeçalho ausente, a ferramenta fornece o valor de cabeçalho exato recomendado que você pode copiar para a configuração do servidor. Execute o verificador após cada mudança de deploy para garantir que os cabeçalhos de segurança não foram removidos acidentalmente por alterações na configuração do servidor.
Por que os cabeçalhos de segurança HTTP importam
Os cabeçalhos de segurança HTTP são uma das medidas de segurança mais fáceis de implementar e mais eficazes para sites. Eles funcionam instruindo o navegador a aplicar políticas de segurança automaticamente — nenhum código de aplicação é necessário. No entanto, muitos sites os omitem porque não causam erros funcionais visíveis quando ausentes. Um site sem Content-Security-Policy é vulnerável a ataques XSS. Sem Strict-Transport-Security, os usuários podem ser rebaixados para HTTP e interceptados. Sem X-Frame-Options, seu site pode ser incorporado em um iframe malicioso para ataques de clickjacking. Esses cabeçalhos levam minutos para configurar e protegem todos os visitantes automaticamente.
Perguntas Frequentes
Posso colar cabeçalhos de localhost ou staging?
Sim. Esta ferramenta foi feita para o modo colar, então você pode revisar cabeçalhos de localhost, staging interno ou qualquer ambiente privado sem expor a URL.
Por que não buscar a URL diretamente?
Buscar uma URL falharia para muitos ambientes privados e poderia vazar endpoints internos. O modo colar mantém o fluxo de trabalho privado e funciona em qualquer lugar em que o curl ou o devtools do navegador possam copiar cabeçalhos.
Uma pontuação alta garante segurança?
Não. O verificador destaca cabeçalhos de resposta comuns e configurações incorretas comuns, mas não é uma auditoria completa de segurança de aplicação.
Use esta ferramenta dentro de um fluxo maior
Estas coleções agrupam ferramentas e guias que costumam aparecer no mesmo trabalho.
Explorar tags iguais
Vá para outras ferramentas com o mesmo fluxo, formato ou caso de uso.