Verificador de cabeçalhos de segurança: teste CSP, HSTS, X-Frame-Options e outros
Inspecione os cabeçalhos de segurança HTTP de um site público e revise CSP, HSTS, proteção contra sequestro de cliques, política de referenciador, permissões e sinais de isolamento entre origens.
Proteção por cabeçalhos
Verificador de cabeçalhos de segurança
Verifique os cabeçalhos HTTP defensivos retornados por um site público.
O verificador segue até cinco redirecionamentos públicos e avalia a resposta final.
Resultados dos cabeçalhos
Rode uma verificação para ver os detalhes dos cabeçalhos de segurança.
Os achados de cabeçalhos de segurança aparecerão aqui após uma verificação bem-sucedida.
Por que usar um verificador de cabeçalhos de segurança online
Um verificador de cabeçalhos de segurança online ajuda a confirmar quais defesas HTTP uma página pública está retornando agora. Esses cabeçalhos não substituem segurança de aplicação, mas reduzem exposição a riscos comuns no navegador, como sequestro de cliques, inferência de MIME, referenciadores amplos demais, regras fracas de iframe e falta de reforço de HTTPS.
Como o teste roda
A ferramenta faz uma requisição HTTP ou HTTPS pelo servidor para a URL pública informada, segue até cinco redirecionamentos públicos, lê os cabeçalhos da resposta final e avalia a presença e a qualidade básica dos cabeçalhos de segurança mais comuns. Ela verifica Strict-Transport-Security, Content-Security-Policy, proteção de frames por CSP ou X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy e Cross-Origin-Resource-Policy.
Como interpretar os resultados
Comece pelos cabeçalhos ausentes marcados como falha e depois revise os avisos quando o cabeçalho existe, mas pode estar fraco para navegadores modernos. Uma pontuação alta indica uma base forte na resposta final, enquanto uma pontuação baixa indica que o servidor, CDN, framework ou aplicação deve revisar a configuração.
- HSTS ajuda navegadores a manter visitas futuras em HTTPS após uma visita segura.
- CSP limita de onde scripts, estilos, frames, imagens e outros recursos podem carregar.
- Proteção de frames ajuda a reduzir risco de sequestro de cliques.
- Referrer-Policy e Permissions-Policy reduzem exposição desnecessária de dados do navegador.
- COOP e CORP ajudam a isolar contextos e recursos entre origens.
Este teste mostra os cabeçalhos retornados pela resposta pública final. Ele não audita a aplicação inteira, não prova que a CSP é perfeita, não testa redes privadas e não armazena dados pessoais.
Ferramentas relacionadas
- Teste de redeVerificador de certificado SSLUse este verificador de certificado SSL para validar expiração, emissor, SANs, correspondência de nome de host, protocolo e impressão digital antes de diagnosticar erros HTTPS.Abrir ferramenta
- Teste de redeTeste de HTTP/2 + HTTP/3Use este teste HTTP/2 e HTTP/3 para confirmar qual protocolo o navegador negociou no caminho de rede atual e comparar o comportamento de uma requisição nova.Abrir ferramenta
- Teste de redeConsulta DNSUse esta consulta DNS para validar registros do domínio, comparar valores esperados e diagnosticar problemas de site, subdomínio ou email.Abrir ferramenta
- Teste de redeTeste de portas abertasUse esta verificação de portas abertas para testar encaminhamento de portas, regras de firewall e acesso remoto no seu IP público antes de investigar roteadores, servidores, NAS, SSH, RDP ou jogos.Abrir ferramenta