O Que é um Verificador de Headers HTTP?
Um verificador de headers HTTP é uma ferramenta que envia uma requisição a qualquer URL e exibe os headers de resposta HTTP retornados pelo servidor. Mostra metadados como tipo de conteúdo, regras de cache, software do servidor e headers de segurança como HSTS, CSP e X-Frame-Options.
Nossa ferramenta também atribui uma nota de segurança de A a F com recomendações específicas para melhorar a proteção do seu site. Headers de segurança são a primeira linha de defesa contra ataques como XSS, clickjacking e MIME sniffing.
Verificar headers regularmente é essencial para garantir que seu site está protegido e seguindo as melhores práticas de segurança web.
Headers de Segurança Críticos
Conheça os headers de segurança mais importantes que todo site deve implementar:
Força navegadores a usar apenas HTTPS. Previne ataques de SSL stripping e man-in-the-middle. Recomendado: max-age=31536000; includeSubDomains; preload.
Controla quais recursos (scripts, estilos, imagens) podem carregar na página. Previne ataques XSS bloqueando scripts não autorizados.
Controla se o site pode ser carregado em iframes. DENY ou SAMEORIGIN previnem ataques de clickjacking.
Previne MIME sniffing com valor 'nosniff'. Força navegadores a respeitar o Content-Type declarado pelo servidor.
Controla quais informações de referrer são enviadas em requisições. 'strict-origin-when-cross-origin' é o padrão recomendado.
Restringe APIs do navegador como câmera, microfone e geolocalização. Limita funcionalidades que seu site não precisa.
Por Que Headers de Segurança Importam
Headers de segurança são essenciais para proteger seu site e seus visitantes:
Prevenção de XSS: Content-Security-Policy bloqueia execução de scripts maliciosos injetados no seu site. É a defesa mais eficaz contra cross-site scripting.
Proteção contra clickjacking: X-Frame-Options impede que seu site seja carregado em iframes de sites maliciosos, prevenindo que usuários sejam enganados a clicar em elementos invisíveis.
Força HTTPS: HSTS garante que toda comunicação use HTTPS, prevenindo ataques de downgrade e interceptação de tráfego.
Confiança e SEO: Sites com headers de segurança bem configurados transmitem confiança e podem receber benefícios de ranqueamento do Google.
Como Adicionar Headers de Segurança
Headers de segurança podem ser adicionados de várias formas dependendo do seu servidor:
Nginx: Adicione diretivas add_header no bloco server do nginx.conf. Ex: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Apache: Use Header set no .htaccess. Ex: Header set X-Frame-Options "DENY"
Cloudflare: Use Transform Rules para adicionar headers de resposta customizados a todas as requisições.
Next.js / Vercel: Configure headers no next.config.js ou vercel.json com regras de rota.
Comece com CSP no modo report-only (Content-Security-Policy-Report-Only) para testar antes de aplicar, pois políticas restritivas demais podem quebrar funcionalidades.
Ferramentas de Rede e Segurança Relacionadas
Explore nossas outras ferramentas grátis para segurança e análise de sites:
Verifique certificado SSL, protocolo TLS e cadeia de certificados.
Rastreie cadeias de redirecionamento 301/302 de qualquer URL.
Descubra qual CMS, servidor web e CDN um site usa.
Verifique registros SPF para autenticação de email.
Encontre todos os links internos e externos em qualquer página.
Teste latência e conectividade para qualquer host.