Verificador de Headers de Segurança
Audite todos os 8 headers HTTP de segurança modernos — HSTS, CSP, Permissions-Policy, Referrer-Policy, X-Frame-Options e mais. Avaliação A-F com implicações de fluxo de dados de privacidade.
Como Usar Verificador de Headers de Segurança
- 1Digite a URL do site que você deseja auditar.
- 2Veja todos os headers HTTP de segurança (ou ausentes) detectados na resposta.
- 3Revise a análise por header mostrando as implicações de segurança e privacidade.
- 4Siga as recomendações de correção para melhorar sua classificação de segurança.
ZenovayAnalytics
Veja quem está no seu site agora mesmo.
- Acompanhamento de visitantes em tempo real
- Privacidade em primeiro lugar, sem banner de cookies
- Configurado em dois minutos
Ferramentas Relacionadas
Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.Perguntas Frequentes
Quais cabeçalhos de segurança HTTP esta ferramenta verifica?▾
Esta ferramenta verifica 8 cabeçalhos de segurança HTTP principais: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy (COOP) e X-XSS-Protection. Cada cabeçalho é analisado quanto à correção da configuração.
Por que Permissions-Policy é uma questão de privacidade?▾
Permissions-Policy controla quais APIs do navegador (câmera, microfone, geolocalização, pagamento) podem ser acessadas pela sua página e por scripts de terceiros. Sem ele, rastreadores de publicidade carregados no seu site podem solicitar acesso à localização dos seus usuários. Restringir essas APIs com `geolocation=(), camera=(), microphone=()` evita esse abuso.
Por que Referrer-Policy é importante para privacidade?▾
Sem Referrer-Policy, os navegadores enviam a URL completa de cada página (incluindo caminho e parâmetros de consulta como [email protected]) para cada recurso de terceiros — ferramentas de analytics, CDNs e redes de anúncios. Definir Referrer-Policy: strict-origin-when-cross-origin limita o referenciador entre origens ao domínio apenas.
O que é HSTS e por que preciso dele?▾
HTTP Strict Transport Security (HSTS) informa aos navegadores que seu site deve ser acessado apenas por HTTPS. Sem ele, um atacante na mesma rede pode interceptar conexões HTTP (ataque de SSL stripping). Uma vez que o HSTS esteja definido com um max-age longo, os navegadores se recusarão a se conectar ao seu site via HTTP.
Meu CSP está ausente — como crio um?▾
O CSP pode ser complexo para acertar. Comece com `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; upgrade-insecure-requests` e itere. Use o modo Report-Only primeiro para testar sem quebrar nada.
O que é X-Frame-Options e ainda é necessário?▾
X-Frame-Options impede que seu site seja incorporado em iframes em outros domínios (proteção contra clickjacking). A diretiva `frame-ancestors` do CSP é o substituto moderno, mas X-Frame-Options ainda é necessário para navegadores mais antigos. Use `X-Frame-Options: DENY` a menos que precise de incorporação no mesmo domínio.
Como adiciono cabeçalhos de segurança ao meu site?▾
Para Nginx: adicione cabeçalhos no seu bloco server {}. Para Apache: use diretivas Header set em .htaccess ou httpd.conf. Para Cloudflare: use Transform Rules → Modify Response Headers. Para Vercel/Netlify: use headers() no next.config.js ou netlify.toml.