Análise gratuita de cabeçalhos de segurança – sem cadastro

Verificador de Cabeçalhos HTTP

Avalie os cabeçalhos de resposta HTTP de qualquer URL. Analisamos HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, o isolamento entre origens (COOP/COEP/CORP) e os atributos dos cookies, e explicamos como corrigir o que está faltando.

https://

O que este verificador de cabeçalhos HTTP faz

Digite qualquer URL pública e nós a buscamos no servidor para ler os cabeçalhos de resposta HTTP brutos: as instruções invisíveis que um servidor envia junto com cada página. Analisamos os relevantes para a segurança, avaliamos cada um de acordo com as melhores práticas atuais e retornamos uma nota de A a F com uma breve explicação e uma recomendação concreta para cada constatação.

Ao contrário de uma simples verificação do tipo “o cabeçalho está presente?”, esta ferramenta lê dentro de cada cabeçalho: analisa suas diretivas de CSP, o valor max-age do HSTS, os atributos dos seus cookies e sua Permissions-Policy, e detecta contradições, como um X-Frame-Options obsoleto ao lado de um frame-ancestors moderno.

O que é verificado

  • Transporte: HTTPS e robustez do Strict-Transport-Security (HSTS).
  • Segurança do conteúdo: qualidade da Content-Security-Policy, proteção contra clickjacking (frame-ancestors / X-Frame-Options) e X-Content-Type-Options.
  • Isolamento entre origens: COOP, COEP e CORP.
  • Privacidade e diretivas: Referrer-Policy e Permissions-Policy.
  • Cookies: os atributos Secure, HttpOnly e SameSite em cada Set-Cookie.
  • Divulgação de informações: exposição de versões em Server e X-Powered-By.

Como funciona a pontuação

Cada cabeçalho é ponderado de acordo com sua importância e contribui com um valor parcial de 0 a 1 (aprovado / parcial / reprovado). A pontuação final é a média ponderada de todas as verificações aplicáveis, arredondada e convertida em uma nota: A a partir de 90, B a partir de 80, C a partir de 70, D a partir de 60 e F abaixo de 60. As verificações de consistência (como um X-Frame-Options redundante) são exibidas a título informativo, mas não afetam a pontuação.

Perguntas frequentes

Esta ferramenta altera algo no meu site?

Não. Enviamos uma única requisição somente leitura e analisamos os cabeçalhos de resposta. Nada é modificado, e nunca executamos testes ativos, como requisições forjadas entre origens.

Por que minha CSP recebeu apenas um aviso?

Uma Content-Security-Policy é avaliada pela qualidade, não apenas pela presença. Fontes como 'unsafe-inline' ou 'unsafe-eval' em script-src, ou um curinga *, enfraquecem a diretiva e recebem nota parcial. Use nonces ou hashes para os scripts em linha a fim de alcançar a nota máxima.

Vocês verificam a configuração de TLS ou de certificados?

Aqui não: esta ferramenta foca nos cabeçalhos de resposta. As suítes de criptografia e as cadeias de certificados são um tema à parte; use um analisador de TLS dedicado para isso.

O relatório fica em cache?

Sim, por uma hora por URL — menos que em nossas outras ferramentas, porque os cabeçalhos de segurança costumam mudar durante as correções. Os resultados servidos do cache são indicados no relatório.