Verificador de Cabeçalhos de Segurança

Verifique uma URL em busca de cabeçalhos de segurança ausentes ou arriscados (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) e analise os flags de cookies (Secure, HttpOnly, SameSite). Siga redirecionamentos até o destino final, exporte relatórios JSON/PDF e obtenha recomendações acionáveis para endurecimento.

Loading…

Sobre Verificador de Cabeçalhos de Segurança

A segurança web moderna é amplamente aplicada por cabeçalhos de resposta HTTP. Esta ferramenta busca uma URL (opcionalmente seguindo redirecionamentos) e audita os principais cabeçalhos de endurecimento que reduzem problemas de XSS, clickjacking, detecção de MIME, transporte inseguro e isolamento entre origens. Também revisa atributos Set-Cookie para identificar lacunas comuns, como ausência de Secure/HttpOnly/SameSite, ou SameSite=None sem Secure.

Funcionalidades

Siga redirecionamentos para auditar o destino HTTPS final (recomendado para implantações reais).
Verifica cabeçalhos de endurecimento necessários: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
Verifica cabeçalhos modernos recomendados: COOP, COEP, CORP, Origin-Agent-Cluster e sinais adicionais de endurecimento quando presentes.
Análise de cookies para flags Set-Cookie: Secure, HttpOnly, SameSite; alerta sobre SameSite=None sem Secure.
Análise CSP: destaca unsafe-inline, unsafe-eval, fontes curinga, diretivas defensivas ausentes (default-src, object-src, base-uri, frame-ancestors) e ressalvas de report-only.
Sinaliza cabeçalhos obsoletos ou arriscados (ex.: X-XSS-Protection) e cabeçalhos de vazamento de informações (ex.: Server, X-Powered-By).
Resultados copiáveis/compartilháveis para revisões de segurança, relatórios de pentest ou tickets de bug.
Baixe relatórios como JSON ou PDF para auditorias, evidências de conformidade e rastreamento de regressões.

🧭 Como usar for security-headers-checker

Cole a URL que deseja auditar

Insira a URL completa (de preferência https://…). A ferramenta avalia os cabeçalhos de resposta retornados por esse endpoint.

Ative “Seguir Redirecionamentos” (recomendado)

Muitos sites redirecionam http→https e non-www→www (ou vice-versa). Seguir redirecionamentos audita o destino final que usuários e bots realmente alcançam.

Escolha se deseja mostrar cabeçalhos brutos

Ative “Mostrar Cabeçalhos Brutos” se quiser as linhas originais dos cabeçalhos para depuração (ótimo para CDNs, proxies reversos e padrões de framework).

Revise os resultados e priorize correções

Foque primeiro na segurança de transporte (HSTS), anti-XSS (CSP), proteção contra clickjacking (proteções de frame), flags de cookies e isolamento entre origens (COOP/COEP/CORP) quando aplicável.

Exporte um relatório para acompanhamento

Baixe JSON/PDF para anexar a tickets, comparar mudanças ao longo do tempo ou adicionar verificações ao CI para regressões.

Especificações técnicas

O que esta ferramenta verifica

O verificador foca em cabeçalhos de resposta modernos e de alto impacto, além de atributos de cookies usados para controles de segurança aplicados pelo navegador.

Área	Sinais verificados	Por que é importante
Segurança de transporte	Strict-Transport-Security (HSTS)	Força HTTPS e ajuda a prevenir SSL stripping em visitas subsequentes.
Mitigação de XSS	Content-Security-Policy (CSP) + armadilhas comuns	Restringe fontes de scripts/estilos e reduz o impacto de XSS quando configurado corretamente.
Clickjacking	X-Frame-Options e/ou CSP frame-ancestors	Impede que suas páginas sejam enquadradas por outras origens.
Sniffing de MIME	X-Content-Type-Options: nosniff	Impede que navegadores adivinhem tipos de conteúdo de maneiras arriscadas.
Vazamento de referência	Referrer-Policy	Controla quanta informação de referência é enviada para outros sites.
Controle de permissões	Permissions-Policy	Restringe recursos poderosos (câmera, microfone, geolocalização, etc.) no nível do navegador.
Isolamento de origem cruzada	COOP / COEP / CORP (e relacionados)	Necessário para isolamento de segurança avançado e algumas APIs de alto desempenho.
Cookies	Flags Set-Cookie: Secure, HttpOnly, SameSite	Reduz o risco de roubo de sessão e mitiga CSRF quando configurado corretamente.
Arriscado/obsoleto	X-XSS-Protection, Server, X-Powered-By (quando presente)	Controles obsoletos ou vazamento de informações que podem auxiliar atacantes.

Comportamento e limites de requisição

A auditoria é executada no lado do servidor e pode seguir redirecionamentos para corresponder ao comportamento real de navegação.

Configuração	Comportamento	Padrão
Seguir Redirecionamentos	Segue até um número limitado de redirecionamentos	Ativado
Máximo de Redirecionamentos	Máximo de redirecionamentos quando o seguimento está ativado	10
Tempo Limite	Tempo limite da requisição	15000 ms
User-Agent	Cabeçalho de identificação da requisição	Encode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Redes privadas	Bloqueia alvos de rede privada	Não permitido

Interpretando os resultados corretamente

Uma verificação de cabeçalhos “aprovada” não é o mesmo que “segura”. Os cabeçalhos são uma camada. O objetivo é reduzir o raio de impacto de classes comuns de problemas e impor padrões mais seguros nos navegadores.

Use este relatório como uma lista de verificação de reforço de base. Ainda assim, faça auditoria de autenticação, autorização, validação de entrada, vulnerabilidades de dependência e configuração do servidor.

Linha de comando

Use curl para replicar o que o verificador faz e validar cabeçalhos rapidamente durante depuração ou CI.

macOS / Linux

Buscar cabeçalhos de resposta

curl -I [https://example.com](https://example.com)

Mostra os cabeçalhos de alto nível retornados pelo endpoint.

Seguir redirecionamentos e mostrar cabeçalhos

curl -IL [https://example.com](https://example.com)

Útil para confirmar os cabeçalhos do destino final após redirecionamentos.

Inspecionar linhas Set-Cookie

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Ajuda a verificar os atributos Secure/HttpOnly/SameSite.

Windows (PowerShell)

Buscar cabeçalhos de resposta

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

Imprime os cabeçalhos retornados no PowerShell.

Sempre teste suas páginas HTML e endpoints críticos de API: eles geralmente têm pilhas de middleware diferentes e, portanto, conjuntos de cabeçalhos diferentes.

Casos de uso

Linha de base de reforço de segurança para um aplicativo web

Estabelecer uma linha de base mínima de cabeçalhos e detectar cabeçalhos ausentes após implantações, alterações de proxy/CDN ou atualizações de framework.

Verificar se HSTS está presente no HTTPS de produção
Garantir que as proteções contra clickjacking estejam ativadas para páginas autenticadas

Revisão de segurança de cookies e sessões

Validar que os cookies de sessão são enviados com Secure/HttpOnly/SameSite e detectar configurações incorretas comuns.

Detectar SameSite=None sem Secure
Confirmar que HttpOnly está definido nos tokens de sessão

Qualidade da CSP e redução de risco de XSS

Identifique padrões de CSP de alto risco e priorize correções que reduzam materialmente o impacto de XSS.

Remova unsafe-inline e adote uma estratégia de nonce/hash
Adicione frame-ancestors e base-uri para padrões mais robustos

Verificações de regressão em CDN / proxy reverso

Detecte quando um CDN, balanceador de carga ou proxy remove ou duplica cabeçalhos.

Verifique se os cabeçalhos de segurança sobrevivem a alterações no Cloudflare/Varnish/Nginx
Garanta que redirecionamentos não descartem HSTS no destino final

❓ Frequently Asked Questions

❓Por que os cabeçalhos de segurança são importantes?

Eles impõem controles de segurança no lado do navegador que reduzem o impacto de ataques web comuns, como XSS, clickjacking e problemas de conteúdo misto ou downgrade. Também definem padrões mais seguros para cookies e comportamento entre origens.

❓Devo ativar “Seguir Redirecionamentos”?

Geralmente sim. Usuários reais e rastreadores acabam na URL final após redirecionamentos, e é lá que os cabeçalhos efetivos importam. Cadeias de redirecionamento podem ocultar cabeçalhos ausentes no destino final.

❓O CSP é obrigatório para todos os sites?

É altamente recomendado para sites com sessões de usuário ou conteúdo dinâmico. Mesmo um CSP básico pode reduzir o risco de XSS, mas o CSP deve ser testado cuidadosamente para evitar quebrar scripts e integrações de terceiros.

❓Por que o X-XSS-Protection é sinalizado como obsoleto ou arriscado?

Está obsoleto em navegadores modernos e, em alguns casos históricos, podia introduzir comportamentos inesperados. Foque em CSP e práticas de codificação segura em vez disso.

❓Qual é um erro comum com HSTS?

Ativar HSTS em HTTPS, mas esquecer de servir HTTPS consistentemente (ou omiti-lo no host canônico). Outro erro comum é adicionar diretivas de pré-carregamento sem atender totalmente aos requisitos de pré-carregamento.

❓Os cabeçalhos sozinhos podem proteger minha aplicação?

Não. Cabeçalhos são uma camada de reforço. Você ainda precisa de codificação segura, gerenciamento de dependências, correção de autenticação/autorização e configuração robusta do servidor.

Pro Tips

Best Practice

Faça auditoria tanto no HTML de entrada quanto nos seus endpoints de API. Eles frequentemente têm middleware diferente e podem divergir silenciosamente na cobertura de cabeçalhos.

CI Tip

Execute uma verificação de cadeia de redirecionamento: confirme que o destino final define os cabeçalhos mais fortes (especialmente HSTS e CSP).

Best Practice

Trate cookies como parte do seu perímetro de segurança: Secure + HttpOnly + SameSite apropriado deve ser o padrão para cookies de sessão.

Best Practice

Para CSP, priorize remover unsafe-inline/unsafe-eval e adotar nonces ou hashes. Geralmente é o maior ganho de segurança real.

Best Practice

Evite vazar detalhes do servidor. Remova ou minimize Server / X-Powered-By quando possível para reduzir fingerprinting.

CI Tip

Adicione um teste de regressão no CI que falhe implantações se cabeçalhos críticos desaparecerem (mudanças em proxy/CDN causam isso mais do que se imagina).