Skip to main contentSkip to navigation

Analisador de Cabeçalhos de Segurança

Analisar headers de segurança HTTP (CSP, HSTS, etc.)

HTTP Response Headers

Paste raw response headers (from your server, curl -I, or browser devtools).

Analysis

HSTS
Header not present
Forces HTTPS and protects against protocol downgrade attacks.
CSP
Header not present
Mitigates XSS by whitelisting sources.
X-Frame-Options
Header not present
Prevents clickjacking in iframes.
X-Content-Type-Options
Header not present
Prevents MIME sniffing.
Referrer-Policy
Header not present
Controls referer leakage.
Permissions-Policy
Header not present
Restricts powerful browser features.
COOP
Header not present
Isolates browsing context for security.
COEP
Header not present
Required for certain isolation models.
CORP
Header not present
Restricts cross-origin resource loading.

Analisador de Cabeçalhos de Segurança - Verificar Headers HTTP

Os cabeçalhos de segurança HTTP são a primeira linha de defesa contra vulnerabilidades Web: instruem o navegador a aplicar políticas que protegem contra XSS, clickjacking, ataques MITM e vazamento de dados. Este analisador avalia os headers de resposta do seu site conforme boas práticas, identifica proteções ausentes e traz recomendações práticas para endurecer a aplicação. Uma configuração adequada é crucial para conformidade, confiança e defesa diante de ameaças em evolução.

Cabeçalhos essenciais e mecanismos de proteção

Content‑Security‑Policy (CSP) reduz XSS controlando origens e scripts inline. Strict‑Transport‑Security (HSTS) impõe HTTPS e evita downgrade. X‑Frame‑Options e frame‑ancestors evitam clickjacking ao controlar iframes. X‑Content‑Type‑Options bloqueia MIME sniffing. Referrer‑Policy limita vazamento de informação. Permissions‑Policy restringe acesso a APIs do navegador (câmera, microfone, geolocalização). Juntos, fornecem defesa em profundidade.

CSP: configuração avançada e boas práticas

A CSP exige equilíbrio entre segurança e funcionalidade. Comece com política restritiva (ex.: default‑src 'self'; img‑src 'self' data:; style‑src 'self' 'unsafe‑inline'; script‑src 'self') e alivie conforme necessário. Use nonce/hash para scripts inline em vez de 'unsafe‑inline'. Adote gradualmente: primeiro report‑only, corrija compatibilidade e depois aplique. Monitore relatórios para detectar ataques e má configuração. Em apps complexas, use políticas diferenciadas ou strict‑dynamic.

Implementação de HSTS e subdomínios

HSTS impede SSL stripping ao forçar HTTPS em conexões futuras. Comece com max‑age curto em testes e aumente em produção. 'includeSubDomains' protege subdomínios (garanta que todos suportam HTTPS). Avalie 'preload' para listas de pré‑carregamento, garantindo proteção na primeira visita. HSTS é persistente: navegadores lembram a política mesmo após removê‑la; teste exaustivamente.

Erros comuns e solução de problemas

CSP permissiva demais (script‑src '*' ou 'unsafe‑eval') anula benefícios. Falta de HSTS em login expõe a downgrades. X‑Frame‑Options incorreto quebra iframes legítimos ou não evita clickjacking. Conflitos (X‑Frame‑Options versus frame‑ancestors) geram comportamentos inesperados. Teste em vários navegadores/fluxos; use as ferramentas para ver violações de CSP, validar HSTS e garantir headers em páginas sensíveis.

Headers para APIs e SPAs

APIs pedem configuração diferente: CORS controla acesso cross‑origin; CSP é menos relevante em endpoints JSON. SPAs requerem CSP cuidadosa para permitir carregamento dinâmico e evitar XSS. Considere COEP/COOP para isolamento reforçado. Gateways e CDNs devem preservar headers de segurança da origem. Aplique consistentemente em dev/staging/prod para detectar problemas cedo.

Monitoramento, conformidade e escala

Monitore com ferramentas (Security Headers, Mozilla Observatory) ou varreduras em CI/CD. Registre violações de CSP e relatórios HSTS para detectar ataques e má configuração. Em grandes ambientes, utilize gestão de configuração e 'políticas como código' para garantir consistência. Faça auditorias regulares, avalie eficácia e novos padrões. Quadros de conformidade (p. ex., SOC 2, PCI DSS) costumam exigir esses headers.

Further reading

Security headers provide essential protection against web vulnerabilities with minimal performance impact. Implement progressively, monitor violations, test thoroughly across browsers and user flows, and maintain policies as your application evolves. Regular security header audits should be part of your security maintenance routine.