Verificador de Cabeçalhos HTTP
Ferramenta gratuita para qualquer URL. Inspecione cabeçalhos de servidor, cache e segurança (HSTS, CSP, X-Frame-Options) para revisão de segurança e testes.
O Que É o Verificador de Cabeçalhos HTTP?
O Verificador de Cabeçalhos HTTP abre uma conexão HTTP ou HTTPS real com uma URL e lê os cabeçalhos de resposta que o servidor de fato entrega. Cabeçalhos HTTP são a camada de metadados do protocolo (RFC 7230 a 7237) e carregam uma quantidade surpreendente do comportamento do servidor: como o conteúdo é armazenado em cache, quais tipos de conteúdo são permitidos, qual política de origem cruzada se aplica e, principalmente, quais cabeçalhos de segurança estão definidos.
Cabeçalhos de segurança são a parte que mais importa para a maioria das pessoas. HSTS mantém um site em HTTPS, CSP restringe quais scripts podem ser executados, X-Frame-Options bloqueia clickjacking, e alguns outros protegem contra MIME sniffing, vazamento de referrer e downgrade de protocolo. Esta ferramenta faz a requisição, lê a resposta, atribui uma nota ao conjunto de cabeçalhos de segurança com base nas orientações da OWASP e da Mozilla, e organiza o restante dos cabeçalhos para você analisá-los.
O Que São Cabeçalhos HTTP?
Cabeçalhos HTTP são componentes fundamentais da comunicação web, servindo como metadados que controlam como navegadores e servidores interagem. Nosso Verificador de Cabeçalhos HTTP foca em cabeçalhos de resposta, que revelam a configuração do servidor, a postura de segurança e as definições de entrega de conteúdo. Cabeçalhos de resposta incluem diretivas de segurança (HSTS, CSP, X-Frame-Options), políticas de cache (Cache-Control, ETag), especificações de conteúdo (Content-Type, Content-Length) e informações do servidor (Server, X-Powered-By).
Cabeçalhos HTTP funcionam de forma idêntica em conexões HTTP (porta 80) e HTTPS (porta 443), mas o HTTPS adiciona criptografia TLS/SSL (RFC 8446) que protege os cabeçalhos contra interceptação durante a transmissão. O HTTPS é essencial para cabeçalhos de segurança como HSTS, que exigem conexões HTTPS para funcionar de forma eficaz. A ferramenta suporta ambos os protocolos e trata a criptografia TLS/SSL automaticamente para conexões HTTPS, garantindo análise precisa de cabeçalhos independentemente do protocolo.
Como Funciona a Análise de Cabeçalhos HTTP
A análise de cabeçalhos HTTP envolve estabelecer conexões de rede, recuperar respostas HTTP, analisar dados de cabeçalhos e examinar configurações de segurança. Este verificador usa métodos confiáveis baseados em padrões da internet para fornecer informações precisas sobre cabeçalhos:
1. Estabelecimento de Conexão e Resolução DNS
A ferramenta resolve o nome de domínio alvo em um endereço IP por meio de consultas DNS (registros A/AAAA conforme RFC 1035), depois estabelece uma conexão TCP na porta 80 (HTTP) ou 443 (HTTPS). Para conexões HTTPS, realiza handshake TLS conforme RFC 8446 para estabelecer conexão criptografada antes de enviar requisições HTTP.
Converte nomes de domínio em endereços IP por consultas DNS (registros A/AAAA) conforme RFC 1035.
Estabelece conexão TCP na porta 80 (HTTP) ou 443 (HTTPS) para comunicação HTTP.
Realiza handshake TLS/SSL conforme RFC 8446 em conexões HTTPS para comunicação criptografada.
Detecta automaticamente HTTP ou HTTPS a partir da URL e trata o tipo de conexão adequado.
Suporta IPv4 e IPv6. Para endereços IP, a ferramenta adiciona automaticamente http:// e tenta a conexão. Se HTTP falhar, HTTPS é testado como fallback para máxima compatibilidade.
A verificação de certificado SSL está desativada de propósito, para você inspecionar cabeçalhos em servidores com certificados autofassinados ou inválidos. Para avaliar o certificado em si, use o Verificador SSL.
Requisições têm timeout de 15 segundos para evitar espera indefinida. Se o servidor não responder nesse prazo, a conexão é encerrada com mensagem de erro apropriada.
2. Transmissão de Requisição HTTP
A ferramenta envia uma requisição HTTP (normalmente GET ou HEAD) ao servidor alvo, incluindo cabeçalhos padrão como Host, User-Agent, Accept e Connection. O servidor processa a requisição e gera resposta HTTP com códigos de status, cabeçalhos de resposta e, opcionalmente, corpo.
Envia requisição HTTP com GET ou HEAD para recuperar cabeçalhos de resposta com eficiência. HEAD é preferido quando só cabeçalhos são necessários, pois não baixa o corpo da resposta, sendo mais rápido e econômico em banda.
Envia cabeçalhos de requisição semelhantes a navegador, incluindo User-Agent (Chrome), Accept, Accept-Language, Accept-Encoding, Upgrade-Insecure-Requests, cabeçalhos Sec-Fetch-*, Cache-Control e Connection, para imitar comportamento real e garantir recuperação precisa.
Recebe resposta HTTP com códigos de status, cabeçalhos de resposta e corpo opcional.
Trata timeouts, falhas DNS e erros HTTP com mensagens apropriadas e degradação controlada.
3. Análise e Categorização de Cabeçalhos de Segurança
Os cabeçalhos de resposta HTTP recuperados são analisados e categorizados em segurança, cache, conteúdo, informações do servidor, CORS e cabeçalhos personalizados. Cada cabeçalho é validado quanto à sintaxe conforme RFC 7230-7237, e cabeçalhos de segurança são analisados segundo OWASP Secure Headers Project e diretrizes Mozilla.
Analisa cabeçalhos de resposta HTTP conforme RFC 7230-7237 e extrai nomes e valores.
Organiza cabeçalhos em categorias: Segurança, Conteúdo, Cache, Info do Servidor, CORS e Personalizados.
Reconhece alternativas modernas, como CSP frame-ancestors em substituição a X-Frame-Options. A ferramenta analisa cabeçalhos tradicionais e modernos, preferindo implementações modernas quando ambos estão presentes.
Valida sintaxe dos cabeçalhos para conformidade HTTP conforme RFC 7230-7237.
Analisa cabeçalhos de segurança segundo OWASP Secure Headers Project e diretrizes Mozilla.
Identifica cabeçalhos de segurança ausentes que indicam vulnerabilidades e lacunas.
Como Usar o Verificador de Cabeçalhos HTTP
Nosso Verificador de Cabeçalhos HTTP serve usuários de todos os níveis técnicos. Siga este processo:
-
Passo 1: Informe um domínio (ex.: example.com), URL completa (ex.: https://example.com) ou endereço IP (IPv4 como 192.168.1.1 ou IPv6 como 2001:db8::1). A ferramenta detecta tipo de entrada e protocolo. Sem protocolo no domínio, usa HTTPS por padrão. Para IP, tenta HTTP primeiro e HTTPS como fallback se HTTP falhar.
-
Passo 2: Complete a CAPTCHA para uso seguro e reduzir abuso automatizado.
- Passo 3: Clique em "Verificar Cabeçalhos". A ferramenta estabelece conexão HTTP e recupera os cabeçalhos.
Os resultados incluem cabeçalhos de resposta HTTP completos por categoria (Segurança, Conteúdo, Cache, Info do Servidor, CORS, Personalizados), análise de cabeçalhos de segurança comparada às recomendações OWASP, identificação de cabeçalhos ausentes e recomendações detalhadas. Você pode ver cabeçalhos em seções organizadas, analisar configurações, copiar valores ou exportar em JSON, CSV ou TXT.
Quais São os Cabeçalhos de Segurança Críticos?
Cabeçalhos de segurança são cabeçalhos de resposta HTTP que protegem sites e usuários de diversos ataques. Entender esses cabeçalhos é crucial para manter aplicações web seguras:
HTTP Strict Transport Security (HSTS)
Cabeçalho:
Strict-Transport-Security (RFC 6797)Propósito: Obriga navegadores a usar HTTPS, evitando downgrade de protocolo e ataques man-in-the-middle.
Exemplo:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Sem HSTS, atacantes podem degradar HTTPS para HTTP e interceptar dados sensíveis. HSTS garante criptografia em todas as conexões, protegendo credenciais e dados pessoais.
Content Security Policy (CSP)
Cabeçalho: Content-Security-Policy (RFC 7762)
Propósito: Mitiga ataques Cross-Site Scripting (XSS) controlando quais recursos podem ser carregados e executados.
Exemplo: Content-Security-Policy: default-src 'self'; script-src 'self'
Sem CSP, sites ficam vulneráveis a XSS e injeção de scripts maliciosos. CSP restringe carregamento de recursos e execução não autorizada de scripts.
X-Frame-Options
Cabeçalho:
X-Frame-Options (RFC 7034)Propósito: Previne clickjacking controlando se páginas podem ser exibidas em frames.
Valores:
DENY (sem frames), SAMEORIGIN (somente mesma origem)Exemplo:
X-Frame-Options: DENY
Sem X-Frame-Options, atacantes podem incorporar páginas em frames maliciosos e enganar usuários a clicar em elementos ocultos.
X-Content-Type-Options
Cabeçalho:
X-Content-Type-Options: nosniffPropósito: Previne ataques de MIME sniffing forçando navegadores a respeitar tipos de conteúdo declarados.
Sem este cabeçalho, navegadores podem adivinhar tipos de conteúdo e executar conteúdo malicioso como script. A diretiva nosniff faz o navegador respeitar os tipos MIME declarados.
Referrer-Policy
Cabeçalho: Referrer-Policy
Propósito: Controla quanto de referrer é compartilhado nas requisições, protegendo a privacidade do usuário.
Exemplo: Referrer-Policy: strict-origin-when-cross-origin
Controla o compartilhamento de referrer, evitando vazamento de parâmetros sensíveis da URL a sites de terceiros.
X-XSS-Protection (Obsoleto)
Cabeçalho: X-XSS-Protection
Estado: Obsoleto: navegadores modernos removeram filtragem XSS
Propósito: Era usado para ativar filtragem XSS do navegador, recurso removido em navegadores modernos.
Alternativa Moderna: Content-Security-Policy (CSP) ofrece protección XSS superior.
Não confie em X-XSS-Protection. Implemente Content-Security-Policy estrita. CSP é a forma moderna de bloquear Cross-Site Scripting com controle fino sobre fontes de script no navegador.
Expect-CT (Obsoleto)
Cabeçalho: Expect-CT
Estado: Obsoleto (RFC 9163), substituído por monitoramento Certificate Transparency
Propósito: Era usado para detectar certificados SSL emitidos incorretamente via logs Certificate Transparency.
Nota: Este cabeçalho está obsoleto e não deve ser usado. Monitoramento moderno usa logs Certificate Transparency diretamente.
Não implemente Expect-CT. Use serviços ou ferramentas que consultam logs CT diretamente para monitoramento de certificados.
Sistema de Pontuação de Cabeçalhos de Segurança
A classificação de segurança é pontuação de 100 inspirada em securityheaders.com. Cada cabeçalho é verificado por presença, qualidade de configuração e alinhamento às melhores práticas:
Máximo 25 pontos. Pontuação base por presença (6 pontos), bônus por max-age ≥ 1 ano (até 20 pontos), diretiva includeSubDomains (+3 pontos) e diretiva preload (+2 pontos). Configuração excelente com max-age ≥ 31536000, includeSubDomains e preload recebe os 25 pontos completos.
Máximo 25 pontos. Pontuação base por presença (12 pontos), bônus por diretiva default-src (+4 pontos), diretiva script-src (+3 pontos) e uso de nonce/hash (+6 pontos). Penalidades por unsafe-inline (-3 pontos) e unsafe-eval (-2 pontos). CSP excelente com políticas estritas recebe até 25 pontos.
Máximo 12 puntos. DENY recebe 12 pontos, SAMEORIGIN recebe 10 pontos. CSP frame-ancestors também é reconhecido como alternativa moderna e recebe 12 pontos. Ausência de ambos recebe 0 pontos.
Máximo 12 pontos. Configurado corretamente com "nosniff" recebe 12 pontos. Ausente ou mal configurado recebe 0-5 pontos.
Máximo 13 puntos. Configurado corretamente com valores de política padrão recebe 13 pontos. Políticas mais estritas são preferidas (strict-origin, strict-origin-when-cross-origin, same-origin, no-referrer).
Máximo 13 pontos. Pontuação base por presença (5 pontos), bônus por recursos restritos (até 8 pontos). Mais recursos restritos indicam melhor configuração de segurança.
Escala de Classificação de Cabeçalhos de Segurança Explicada em Detalhe
Acreditamos na transparência. Entender como sua configuração de cabeçalhos vira uma nota ajuda você a decidir sobre a postura de segurança do site. Aqui está o detalhamento do sistema:
Classificações de Cabeçalhos de Segurança (7 níveis)
Configuração de cabeçalhos de segurança praticamente perfeita. Todos os cabeçalhos de segurança críticos estão presentes e configurados corretamente com ajustes ótimos. HSTS inclui max-age ≥ 1 ano, includeSubDomains e preload. CSP usa políticas estritas com nonces/hashes e sem diretivas unsafe. Todos os demais cabeçalhos estão configurados de forma ótima. Esta classificação indica implementação de cabeçalhos de segurança em nível empresarial.
Configuração de cabeçalhos de segurança excelente com áreas menores de melhoria. A maioria dos cabeçalhos críticos está presente e bem configurada. Pode ter deficiências leves como CSP sem nonces/hashes, HSTS sem preload ou pequenas otimizações de configuração necessárias. Esta classificação indica implementação sólida de cabeçalhos de segurança adequada para ambientes de produção.
Boa configuração de cabeçalhos de segurança com margem de melhoria. A maioria dos cabeçalhos de segurança está presente, mas pode ter configurações subótimas. Problemas comuns incluem CSP com diretivas unsafe-inline ou unsafe-eval, HSTS com max-age insuficiente ou ausência de cabeçalhos recomendados como Permissions-Policy. Esta classificação indica segurança aceitável, mas requer otimização para melhor proteção.
Configuração de cabeçalhos de segurança regular com lacunas significativas. Alguns cabeçalhos críticos podem estar ausentes ou mal configurados. Problemas comuns incluem CSP ausente, configuração HSTS fraca ou ausência de X-Frame-Options/X-Content-Type-Options. Esta classificação indica medidas básicas de segurança, mas são necessárias melhorias críticas para proteger contra ataques web comuns.
Configuração de cabeçalhos de segurança deficiente com lacunas importantes. Vários cabeçalhos críticos estão ausentes ou mal configurados. Sites com esta classificação são vulneráveis a ataques comuns como XSS, clickjacking e downgrade de protocolo. Ação imediata é necessária para implementar cabeçalhos de segurança ausentes e melhorar configurações.
Configuração de cabeçalhos de segurança ruim com vulnerabilidades críticas. A maioria dos cabeçalhos de segurança está ausente ou gravemente mal configurada. Sites com esta classificação são muito vulneráveis a ataques e não deveriam ser usados em produção sem implementação imediata de cabeçalhos de segurança. Esta configuração representa riscos significativos para os usuários.
Configuração de cabeçalhos de segurança muito ruim com proteção mínima ou nula. Os cabeçalhos de segurança críticos estão completamente ausentes ou gravemente mal configurados. Sites com esta classificação são extremamente vulneráveis e não deveriam ser implantados em produção. É necessária implementação imediata de todos os cabeçalhos de segurança críticos antes de publicar.
Melhores Práticas de Cabeçalhos de Segurança
Implementar cabeçalhos de segurança corretamente protege sites e usuários. Esta seção traz melhores práticas OWASP e configurações erradas comuns:
Implemente sempre HSTS com max-age adequado (mínimo 31536000 segundos por um ano) e diretiva includeSubDomains. A ausência de HSTS deixa sites vulneráveis a ataques de downgrade de protocolo.
Use políticas CSP estritas que restrinjam recursos a fontes confiáveis. Use default-src 'self' como base e evite diretivas 'unsafe-inline' e 'unsafe-eval' quando possível. Políticas CSP fracas com essas diretivas oferecem proteção mínima contra XSS.
Use DENY para bloquear todo enquadramento, o SAMEORIGIN para permitir enquadramento só da mesma origem. Alternativamente, use a diretiva Content-Security-Policy frame-ancestors (ex.: frame-ancestors 'none' o frame-ancestors 'self'), substituto moderno de X-Frame-Options. CSP frame-ancestors oferece controle mais granular e é preferido a X-Frame-Options. A ausência de X-Frame-Options o CSP frame-ancestors deixa sites vulneráveis a clickjacking.
Defina sempre nosniff para prevenir MIME sniffing. Garante que navegadores respeitem tipos declarados, evitando confusão de tipos de conteúdo.
Remova ou minimize o cabeçalho Server para evitar vazamento de informações. Revelar software e versão do servidor (ex.: Server: nginx/1.18.0) ajuda atacantes a identificar vulnerabilidades e planejar ataques.
Remova X-Powered-By para não revelar framework da aplicação. Revelar informações do framework (PHP, Express, etc.) ajuda atacantes a identificar vulnerabilidades específicas do framework. Remova em produção.
Revise cabeçalhos X-* personalizados quanto a vazamento de informações. Cabeçalhos personalizados podem revelar detalhes internos, endpoints de API ou arquitetura. Remova ou sanitize cabeçalhos sensíveis.
Implemente Referrer-Policy adequada para proteger privacidade. Use strict-origin-when-cross-origin para equilíbrio entre privacidade e funcionalidade, o no-referrer para máxima privacidade. Evita vazamento de parâmetros sensíveis da URL a sites de terceiros.
Use diretivas de cache adequadas: no-store para conteúdo sensível, public, max-age=3600 para recursos estáticos e private para conteúdo do usuário. Cache-Control mal configurado pode causar problemas de segurança (cachear conteúdo sensível) ou desempenho.
Casos de Uso Comuns do Verificador de Cabeçalhos HTTP
Os motivos mais comuns para usar um verificador de cabeçalhos:
Verifique cabeçalhos para conformidade OWASP, PCI-DSS e padrões de segurança. Identifique cabeçalhos ausentes e avalie postura de risco.
Analise cabeçalhos de cache (Cache-Control, ETag, Expires) para otimizar entrega e reduzir carga do servidor. Identifique cache mal configurado e otimize políticas para melhor experiência.
Depure CORS analisando Access-Control-Allow-Origin e diretivas relacionadas. Identifique CORS mal configurado e verifique políticas para conformidade.
Verifique identificação do servidor, cabeçalhos personalizados e vazamentos de informação. Confira configurações contra melhores práticas.
Recursos e Capacidades
O que você obtém em um só lugar. Útil para engenharia e usuários não técnicos:
Suporta HTTP (porta 80) e HTTPS (porta 443) com TLS/SSL conforme RFC 8446, compatível com todos os servidores web.
Estabelece conexões HTTP ao vivo para recuperar cabeçalhos atuais diretamente dos servidores alvo.
Analisa cabeçalhos de segurança segundo OWASP e Mozilla, identifica ausentes e oferece recomendações.
Organiza cabeçalhos em categorias (Segurança, Conteúdo, Cache, Info do Servidor, CORS, Personalizados).
Permite exportar em JSON (RFC 8259), CSV e TXT para documentação, análise e integração.
Todas as verificações são em tempo real, sem armazenamento. Não retemos domínios, URLs, cabeçalhos nem resultados.
Perguntas Frequentes (FAQ)
A verificação mostra o que o servidor comunica aos clientes: quais cabeçalhos de segurança estão configurados (e com qual rigor), política de cache, tipo de conteúdo, banners do servidor, regras CORS e cabeçalhos personalizados. Útil para lacunas de segurança, cache, CDN mal configurado e conformidade.
Cabeçalhos de segurança protegem sites e usuários de XSS (Cross-Site Scripting), clickjacking, MIME sniffing, downgrade de protocolo e ataques man-in-the-middle. Cabeçalhos ausentes indicam vulnerabilidades exploráveis. Cabeçalhos como HSTS, CSP, X-Frame-Options e X-Content-Type-Options oferecem camadas essenciais de proteção contra ataques comuns.
Cabeçalhos HTTP funcionam igual em HTTP (porta 80) e HTTPS (porta 443). HTTPS adiciona TLS/SSL (RFC 8446) e protege dados em trânsito. HSTS exige HTTPS. O verificador suporta ambos e trata TLS/SSL automaticamente.
Não. Nossa ferramenta não armazena domínios, URLs, cabeçalhos HTTP nem resultados. Verificações em tempo real, descartadas ao fim da requisição. Logs de acesso do servidor podem existir conforme nossa Política de Privacidade.
Cabeçalhos HTTP podem revelar versões de software, frameworks e detalhes via Server, X-Powered-By e X-* personalizados. A ferramenta identifica vazamentos e recomenda remover ou minimizar cabeçalhos sensíveis.