Diagnósticos rápidos de dispositivos

Verificador de cabeçalhos de segurança: teste CSP, HSTS, X-Frame-Options e outros

Inspecione os cabeçalhos de segurança HTTP de um site público e revise CSP, HSTS, proteção contra clickjacking, política de referenciador, permissões e sinais de isolamento cross-origin.

Proteção por cabeçalhos

Verificador de cabeçalhos de segurança

Verifique os cabeçalhos HTTP defensivos retornados por um site público.

Pronto

O verificador segue até cinco redirecionamentos públicos e avalia a resposta final.

Resultados dos cabeçalhos

Rode uma verificação para ver os detalhes dos cabeçalhos de segurança.

Pontuação de cabeçalhos de segurançaNenhum cabeçalho verificado ainda--/100

Os achados de cabeçalhos de segurança aparecerão aqui após uma verificação bem-sucedida.

Por que usar um verificador de cabeçalhos de segurança online

Um verificador de cabeçalhos de segurança online ajuda a confirmar quais defesas HTTP uma página pública está retornando agora. Esses cabeçalhos não substituem segurança de aplicação, mas reduzem exposição a riscos comuns no navegador, como clickjacking, MIME sniffing, referenciadores amplos demais, regras fracas de iframe e falta de reforço de HTTPS.

Como o teste roda

A ferramenta faz uma requisição HTTP ou HTTPS pelo servidor para a URL pública informada, segue até cinco redirecionamentos públicos, lê os cabeçalhos da resposta final e avalia a presença e a qualidade básica dos cabeçalhos de segurança mais comuns. Ela verifica Strict-Transport-Security, Content-Security-Policy, proteção de frames por CSP ou X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy e Cross-Origin-Resource-Policy.

Como interpretar os resultados

Comece pelos cabeçalhos ausentes marcados como falha e depois revise os avisos quando o cabeçalho existe, mas pode estar fraco para navegadores modernos. Uma pontuação alta indica uma base forte na resposta final, enquanto uma pontuação baixa indica que o servidor, CDN, framework ou aplicação deve revisar a configuração.

  • HSTS ajuda navegadores a manter visitas futuras em HTTPS após uma visita segura.
  • CSP limita de onde scripts, estilos, frames, imagens e outros recursos podem carregar.
  • Proteção de frames ajuda a reduzir risco de clickjacking.
  • Referrer-Policy e Permissions-Policy reduzem exposição desnecessária de dados do navegador.
  • COOP e CORP ajudam a isolar contextos e recursos cross-origin.

Este teste mostra os cabeçalhos retornados pela resposta pública final. Ele não audita a aplicação inteira, não prova que a CSP é perfeita, não testa redes privadas e não armazena dados pessoais.

Ferramentas relacionadas

Perguntas frequentes

O que este verificador de cabeçalhos de segurança testa?

Ele verifica os cabeçalhos HTTP retornados por uma URL pública. O relatório foca em CSP, HSTS, proteção de frames, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP e CORP.

Como o verificador de cabeçalhos de segurança funciona?

A ferramenta faz uma requisição pelo servidor para a URL informada e lê os cabeçalhos da resposta. Depois ela pontua os cabeçalhos com base em uma linha de base conservadora para controles comuns de segurança no navegador.

Posso testar um domínio sem digitar o protocolo?

Sim. Se você informar apenas um domínio, o verificador usa HTTPS por padrão. Também é possível informar uma URL HTTP ou HTTPS completa para inspecionar um caminho específico.

Uma pontuação perfeita significa que meu site é seguro?

Não. Cabeçalhos de segurança são uma camada de endurecimento do navegador, não uma auditoria completa. Uma boa pontuação indica que a resposta testada tem uma base forte, mas a aplicação ainda precisa de código seguro, autenticação, autorização e controles de infraestrutura.

Por que HSTS é importante?

HSTS informa ao navegador para usar HTTPS em visitas futuras depois que uma conexão segura já foi vista. Isso ajuda a reduzir downgrade e exposição acidental em HTTP puro quando configurado com um max-age relevante.

Por que Content-Security-Policy pode aparecer com aviso?

Uma CSP pode existir e ainda permitir padrões arriscados, como scripts inline inseguros ou eval inseguro. O verificador marca esses casos como aviso porque o cabeçalho ajuda, mas a política pode precisar de ajustes.

O que é proteção contra clickjacking?

Proteção contra clickjacking limita se outro site pode colocar sua página dentro de um frame. Normalmente isso é configurado com CSP frame-ancestors ou com o cabeçalho mais antigo X-Frame-Options.

Por que os resultados mudam entre a home e outra URL?

Cabeçalhos podem ser configurados por rota, regra de CDN, resposta do framework ou serviço de origem. Teste a URL exata carregada pelos usuários, pois home, login, API e arquivos estáticos podem retornar cabeçalhos diferentes.

Este verificador segue redirecionamentos?

Sim. Ele segue até cinco redirecionamentos públicos HTTP ou HTTPS e avalia os cabeçalhos da resposta final, porque normalmente esses são os cabeçalhos recebidos pelos usuários. A cadeia de redirecionamentos aparece no resultado para você revisar para onde a requisição foi.

Esta ferramenta testa sites privados ou locais?

Não. Ela foi feita para domínios públicos e URLs HTTP ou HTTPS públicas. Localhost, redes privadas, hostnames internos e faixas de IP reservadas são rejeitados.

É seguro usar este verificador de cabeçalhos de segurança?

Sim. O verificador apenas acessa a URL pública e lê os cabeçalhos da resposta. Ele não precisa de credenciais, não modifica o site remoto e não armazena dados pessoais.

Qual cabeçalho devo corrigir primeiro?

Comece por CSP ausente, HSTS em páginas HTTPS, proteção de frames e X-Content-Type-Options. Depois refine Referrer-Policy, Permissions-Policy, COOP e CORP conforme a aplicação incorpora conteúdo e usa recursos cross-origin.