Visualizador de Cabeçalhos HTTP

Seguir até 10 redirecionamentos no máximo

Sobre Analisador de Cabeçalhos HTTP Online

Cole uma URL e esta ferramenta busca seus cabeçalhos de resposta HTTP, agrupa-os por finalidade (segurança, desempenho, SEO), calcula pontuações simples e destaca problemas, avisos e recomendações. Perfeito para desenvolvedores, SEOs, DevOps e revisões de segurança quando você quer uma "verificação de sanidade de cabeçalhos" rápida e visual sem ativar scanners completos.

O Que Esta Ferramenta de Cabeçalhos HTTP Pode Fazer

  • Categoriza cabeçalhos em segurança, desempenho, SEO, obsoletos e outros grupos para varredura mais rápida
  • Calcula pontuações simples para cabeçalhos gerais, de segurança, desempenho e SEO para mostrar sua situação de relance
  • Destaca cabeçalhos de segurança como CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP e Origin-Agent-Cluster
  • Analisa flags Set-Cookie para identificar atributos Secure, HttpOnly ou SameSite ausentes
  • Detecta cabeçalhos obsoletos ou arriscados como X-XSS-Protection, X-Powered-By e banners Server que vazam detalhes de implementação
  • Ajuda a ajustar cabeçalhos de desempenho como Cache-Control, Content-Encoding, ETag, Last-Modified e Server-Timing
  • Expõe cabeçalhos relacionados a SEO como Link (canônico/alternativo) e X-Robots-Tag, além de Content-Language quando presente
  • Sem conta, sem chave de API – apenas cole uma URL pública, inspecione os cabeçalhos e itere em sua configuração

🛠️ Como Usar o Visualizador de Cabeçalhos HTTP for http-headers-viewer

1

1. Insira o URL

🔗 Cole qualquer URL HTTP ou HTTPS válido no campo de entrada. Endpoints públicos ou APIs expostas publicamente funcionam melhor.

2

2. Busque os cabeçalhos

🌐 O backend solicita o URL e coleta os cabeçalhos de resposta, seguindo redirecionamentos quando possível. Apenas cabeçalhos e metadados básicos são inspecionados – não o corpo HTML completo.

3

3. Revise categorias e pontuações

🧠 Os cabeçalhos são agrupados em segurança, desempenho, SEO, cookies, obsoletos e outras categorias. A ferramenta deriva pontuações, problemas, avisos e recomendações da sua configuração de cabeçalhos.

4

4. Corrija e teste novamente

🔁 Ajuste a configuração do seu servidor, CDN ou proxy reverso, então execute novamente a verificação até que as pontuações e avisos correspondam aos seus objetivos. Use-o como um ciclo de feedback rápido sempre que mexer na infraestrutura.

Detalhes Técnicos

Manipulação de Solicitação e Resposta

A ferramenta foca nos cabeçalhos de resposta e metadados básicos de conexão, em vez do conteúdo completo da página.

AspectoComportamentoNotas
Método HTTPHEAD ou GET (depende da implementação)Apenas cabeçalhos são inspecionados; corpos são ignorados, a menos que um fallback GET seja necessário.
RedirecionamentosCadeia de redirecionamento registrada quando disponívelÚtil para depurar cadeias 301/302, destinos canônicos e saltos mal configurados.
Versão HTTPCapturada quando fornecidaAjuda a identificar configurações HTTP/1.1 vs HTTP/2/3 e oportunidades potenciais de atualização.
Banner do servidorLido do cabeçalho ServerUsado para alertar sobre possíveis vazamentos de informação (framework, versão).
Manipulação de errosCampo de erro exibido separadamenteSe a busca falhar, você ainda obtém um estado de erro legível em vez de uma falha.

Classificação e Análise de Cabeçalhos

Os cabeçalhos são normalizados e então analisados em categorias tipadas com verificações e dicas dedicadas.

CategoriaCabeçalhos TípicosVerificações e Insights
SegurançaContent-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-ClusterValida a presença, sinaliza diretivas fracas ou ausentes, detecta padrões inseguros de CSP e origens de desenvolvimento.
DesempenhoCache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-TimingVerifica dicas de cache, compressão, suporte a byte-range e cabeçalhos Link relacionados ao desempenho.
SEOLink (canonical/alternate), X-Robots-Tag, Content-LanguageDetecta dicas canônicas/alternativas e diretivas de robôs no nível do cabeçalho, além de metadados de idioma quando presentes.
CookiesSet-CookieVerifica os atributos Secure, HttpOnly, SameSite e alerta quando os sinalizadores estão ausentes ou parecem fracos.
ObsoletoX-XSS-Protection, Public-Key-Pins, variantes antigas de CSPSinaliza cabeçalhos que devem ser removidos ou substituídos por alternativas modernas.

Modelo de Pontuação

As pontuações são heurísticas, não uma auditoria de segurança completa, mas ajudam a priorizar o trabalho e comparar ambientes.

PontuaçãoO que MedeComo é Calculada
Pontuação geralHigiene geral dos cabeçalhosProporção entre todos os cabeçalhos ponderados – principalmente baseada na presença com ponderação leve.
Pontuação de segurançaReforço relacionado à segurançaPondera CSP, HSTS, controle de enquadramento, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP e Origin-Agent-Cluster.
Pontuação de desempenhoEficiência de cache e transferênciaPondera Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing e uso de Link relacionado ao desempenho.
Pontuação de SEOSinais de SEO no nível do cabeçalhoPondera X-Robots-Tag, cabeçalhos Link canônicos/alternativos e Content-Language quando presentes.

Alternativas de CLI para Inspeção de Cabeçalhos

Prefere o terminal ou integrar verificações de cabeçalhos no CI/CD? Use estes comandos como companheiros locais desta ferramenta:

Linux/macOS

Ver cabeçalhos de resposta usando curl

curl -I https://example.com

Envia uma requisição HEAD e imprime os cabeçalhos de resposta para uma verificação rápida.

Saída detalhada com cabeçalhos e negociação TLS

curl -v https://example.com

Útil para depurar redirecionamentos, configuração TLS e detalhes de conexão.

Windows (PowerShell)

Buscar e inspecionar cabeçalhos com Invoke-WebRequest

(Invoke-WebRequest -Uri https://example.com).Headers

Exibe cabeçalhos como um objeto PowerShell, pronto para filtragem adicional ou script.

Aplicações Práticas

Revisão de Cabeçalhos de Segurança

  • Verificar a ausência de cabeçalhos CSP, HSTS, Referrer-Policy ou Permissions-Policy em endpoints-chave.
  • Detectar diretivas CSP inseguras como 'unsafe-inline' sem nonces ou hashes.
  • Identificar cookies sem atributos Secure ou SameSite e planejar correções para fortalecimento de sessão.

Diagnóstico de Desempenho e Cache

  • Inspecionar configuração de Cache-Control, ETag e Content-Encoding em rotas estáticas e dinâmicas.
  • Verificar a presença de dicas de desempenho como cabeçalhos Link de preload ou preconnect do seu CDN.
  • Comparar cabeçalhos relacionados ao desempenho entre ambientes de staging, preview e produção.

Análise de SEO e Cadeia de Redirecionamentos

  • Inspecionar cadeias de redirecionamento 301/302 e confirmar se a URL final é canônica e segura.
  • Verificar cabeçalhos Link canônicos e alternativos em páginas HTML ou versões localizadas.
  • Validar diretivas X-Robots-Tag para indexação, comportamento de snippet e manipulação de mídia.

❓ Frequently Asked Questions

O que são cabeçalhos de resposta HTTP e por que são importantes?

Cabeçalhos de resposta HTTP são pares chave-valor enviados pelo servidor antes do corpo. Eles controlam cache, políticas de segurança, redirecionamentos, CORS, cookies e como navegadores e rastreadores interpretam seu site. Configurá-los corretamente é crucial para segurança, desempenho e SEO.

🔒As URLs que testo são armazenadas em algum lugar?

A ferramenta foi projetada para usar URLs apenas para realizar consultas e construir análises na página. Elas não são destinadas a serem persistidas como perfis de longo prazo. Como em qualquer ferramenta online, evite testar endpoints internos extremamente sensíveis que nunca devem ser expostos.

🧪Posso usar isso para inspecionar respostas de API?

Sim, desde que o endpoint da API seja publicamente acessível a partir do servidor que faz a solicitação. Isso é especialmente útil para inspecionar cabeçalhos CORS, dicas de limitação de taxa, comportamento de cache e tipos de conteúdo em APIs JSON ou XML.

🕵️‍♂️Funciona para páginas protegidas por autenticação?

Geralmente, não. Endpoints que exigem sessão logada, VPN ou cabeçalhos especiais não retornarão resultados significativos para uma solicitação genérica. Use ferramentas de desenvolvedor do navegador ou scripts autenticados para recursos privados.

📈A pontuação é uma auditoria de segurança completa?

Não. A pontuação é uma heurística que ajuda a identificar cabeçalhos ausentes ou fracos rapidamente. Ela não substitui um teste de penetração, varredura de vulnerabilidades ou revisão manual de segurança, mas é uma ótima verificação inicial de sanidade e uma ferramenta de comparação entre ambientes.

Pro Tips

CI Tip

Compare os cabeçalhos entre staging, preview e produção para identificar a falta de endurecimento de segurança ou regras de cache em um ambiente.

Best Practice

Trate os cabeçalhos Server e X-Powered-By como vazamentos de informação – remova-os ou minimize-os na produção sempre que possível.

Best Practice

Ajuste Cache-Control e Content-Encoding primeiro para ativos estáticos – eles frequentemente oferecem os maiores ganhos de desempenho com risco mínimo.

Best Practice

Execute esta ferramenta após cada grande mudança de infraestrutura (CDN, proxy reverso, descarga TLS, novo host) para confirmar que os cabeçalhos ainda estão corretos.

Additional Resources

MDN: Referência de Cabeçalhos HTTP
Documentation
Projeto OWASP de Cabeçalhos Seguros
Documentation

Other Tools