Pressione / para buscar

Verificador de Cabeçalhos de Segurança HTTP

Cole os cabeçalhos de resposta brutos ou a saída de curl -I para revisar cabeçalhos de segurança comuns localmente, incluindo CSP, HSTS e COOP.

Apenas modo colar. A análise de cabeçalhos é executada localmente, então respostas de staging privado e localhost permanecem no seu dispositivo.

Cole os cabeçalhos de resposta brutos ou a saída de curl -I. Se redirecionamentos estiverem incluídos, o último bloco de resposta é pontuado.

0 octets

Cole cabeçalhos de resposta HTTP brutos ou a saída de curl -I

Você acabou de testar Verificador de Cabeçalhos de Segurança HTTP — Tente Formatador de Logs a seguir →

O que é um verificador de cabeçalhos de segurança HTTP?

Os cabeçalhos de segurança HTTP dizem ao navegador como lidar com solicitações de origem cruzada, execução de scripts, conteúdo misto e contextos incorporados — eles são o endurecimento mais barato que você pode enviar porque o único custo é uma edição de configuração. O verificador pontua contra as recomendações do OWASP Secure Headers Project e a rubrica do Mozilla Observatory. Cabeçalhos-chave que ele avalia: Content-Security-Policy (lista branca de origens de script/estilo/img permitidas; a linha de base default-src 'self' bloqueia a maioria dos XSS), Strict-Transport-Security (HSTS — força HTTPS por max-age segundos; valores >=31536000 com includeSubDomains; preload são elegíveis para a lista de pré-carregamento HSTS em hstspreload.org incorporada no Chrome / Firefox / Safari), X-Content-Type-Options: nosniff (impede que os navegadores adivinhem que .txt é HTML), X-Frame-Options: DENY / CSP frame-ancestors (anti-clickjacking — frame-ancestors é o equivalente CSP moderno e substitui X-Frame-Options), Referrer-Policy (controla qual Origin/caminho vaza para terceiros), Permissions-Policy (anteriormente Feature-Policy — recusar câmera, microfone, geolocalização), e o trio Cross-Origin Isolation COOP / COEP / CORP que controla SharedArrayBuffer e temporizadores de alta resolução. Diferentemente dos scanners baseados em URL (securityheaders.com, Mozilla Observatory), esta ferramenta aceita cabeçalhos colados de curl -I ou DevTools, portanto endpoints internos atrás de VPN ou localhost ainda são pontuados sem serem expostos.

Como usar o verificador de cabeçalhos de segurança HTTP

Execute curl -sI https://your.endpoint/ ou copie de DevTools -> Network -> Headers -> Response. Cole o bloco completo incluindo a linha de status (HTTP/2 200). O verificador tolera redirecionamentos (301/302/307/308) e pontua a resposta final. Cada cabeçalho é avaliado contra o valor recomendado pela OWASP: Aprovado (corresponde à recomendação), Aviso (presente mas fraco — p.ex., HSTS max-age=300 é muito curto para ser efetivo), Falha (ausente ou ativamente inseguro — p.ex., Access-Control-Allow-Origin: * com endpoints que requerem credenciais). O relatório vincula cada descoberta aos documentos MDN relevantes e à folha de cola OWASP. Uma armadilha comum: definir tanto X-Frame-Options: DENY quanto Content-Security-Policy: frame-ancestors 'none' é redundante mas não está errado — frame-ancestors prevalece em navegadores modernos, X-Frame-Options permanece para legado. CSP 'unsafe-inline' em script-src compromete a política de proteção XSS; marcado como Falha mesmo se o resto do CSP é sólido.

Por que os cabeçalhos de segurança HTTP importam

Cabeçalhos de segurança ausentes são a descoberta mais comum em testes de penetração porque são invisíveis: um site pode servir o HTML correto e ainda falhar uma auditoria porque os cabeçalhos de resposta estão errados. PCI DSS 4.0 (março de 2025), SOC 2 Trust Service Criteria e ISO 27001:2022 Annex A 8.26 todas sinalizam CSP / HSTS / X-Frame-Options ausentes como lacunas de controle. O custo de corrigir é uma linha em seu proxy reverso (add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; no nginx, um bloco em vercel.json headers, três linhas em Cloudflare Workers) — mas não descoberto até que um auditor ou comunicado de segurança de um concorrente o revele. A verificação de cabeçalhos integrada em CI detecta regressões: um deploy que inverte seu CSP de default-src 'self' para default-src * porque alguém depurando copiou-colou a regra errada. Executar os cabeçalhos através deste verificador antes de mesclar o PR de deploy detecta a diferença.

Perguntas Frequentes

Posso colar cabeçalhos de localhost ou staging?

Sim. Esta ferramenta foi feita para o modo colar, então você pode revisar cabeçalhos de localhost, staging interno ou qualquer ambiente privado sem expor a URL.

Por que não buscar a URL diretamente?

Buscar uma URL falharia para muitos ambientes privados e poderia vazar endpoints internos. O modo colar mantém o fluxo de trabalho privado e funciona em qualquer lugar em que o curl ou o devtools do navegador possam copiar cabeçalhos.

Uma pontuação alta garante segurança?

Não. O verificador destaca cabeçalhos de resposta comuns e configurações incorretas comuns, mas não é uma auditoria completa de segurança de aplicação.

Estas coleções agrupam ferramentas e guias que costumam aparecer no mesmo trabalho.

Fluxos de dados para desenvolvimento

Formate, inspecione, converta e valide JSON, YAML, env, JWT, cabeçalhos e logs diretamente no navegador.

Abrir coleção →

Explorar tags iguais

Vá para outras ferramentas com o mesmo fluxo, formato ou caso de uso.

Dados 8Segurança 3

Ferramentas úteis para o próximo passo com base no que você está fazendo agora.

Formatador de Logs

Cole logs JSON, nginx, Docker, syslog ou texto puro para normalizar, filtrar por nível e inspecioná-los localmente no seu navegador.

Dados Formatação Texto

Decodificador JWT

Decodifique cabeçalhos e payloads JWT localmente no seu navegador. Inspecione claims, expiração, emissor e timestamps sem enviar tokens para lugar nenhum.

Dados Segurança Texto

Formatador e Validador de JSON

Formate, valide e minifique JSON instantaneamente no seu navegador. Zero requisições de rede — seus dados nunca saem do seu dispositivo.

Dados Formatação Texto