Avalia a configuração dos principais headers de segurança HTTP de um site e gera nota A+ a F com recomendações práticas para cada item. Cobre HSTS, Content-Security-Policy, X-Frame-Options, Permissions-Policy, COOP/COEP/CORP e detecção de information disclosure (Server, X-Powered-By).
Análise 100% no navegador. Cole o output de curl -I ou informe a URL (modo URL usa proxy CORS público - alguns headers podem ser filtrados).
Analisar headers
Escolha o modo: colar os headers obtidos manualmente (recomendado) ou buscar a URL via proxy.
Como obter os headers
No terminal, com curl:
curl -I -L https://exemplo.com.br
PowerShell (Windows)
(Invoke-WebRequest -Uri https://exemplo.com.br -Method Head).Headers
Browser DevTools
Aba Network → selecione a requisição do documento → aba Headers → copie a seção Response Headers.
Usa corsproxy.io como relay. Pode falhar em sites com WAF/Cloudflare bloqueando o proxy. Para resultado autoritativo, prefira colar o output de curl -I.
Referência rápida
Strict-Transport-Security
Força HTTPS por período definido. Recomendado: max-age=31536000; includeSubDomains; preload.
Content-Security-Policy
Defesa principal contra XSS. Restringe origens de scripts, frames, imagens. Evite unsafe-inline e unsafe-eval.
X-Frame-Options
Anti-clickjacking. Use DENY ou SAMEORIGIN. CSP frame-ancestors é o substituto moderno.
X-Content-Type-Options
Bloqueia MIME sniffing. Sempre configure como nosniff.
Referrer-Policy
Controla envio do Referer. strict-origin-when-cross-origin é o equilíbrio recomendado.
Permissions-Policy
Restringe APIs do navegador (camera, microfone, geolocalização, USB). Define explicitamente quais são permitidas.
Cross-Origin-Opener-Policy
Isolamento de browsing context. same-origin mitiga ataques Spectre-class e habilita cross-origin isolation.
Cross-Origin-Embedder-Policy
Junto com COOP, habilita estado isolado. Use require-corp ou credentialless em apps que precisam.
Cross-Origin-Resource-Policy
Bloqueia carregamento cross-origin do recurso. Recomendado same-origin ou same-site para a maioria.
Server / X-Powered-By
Information disclosure. Configure o servidor para não revelar nome/versão (reduz vetor de pesquisa direcionada).
X-XSS-Protection
Legacy. Hoje recomendado configurar como 0 e confiar em CSP. Filtros XSS nativos foram removidos dos navegadores.
Boas práticas
Comece CSP em Report-Only, monitore violations, depois enforce. Submeta o domínio ao hstspreload.org após HSTS estabilizado.
Perguntas frequentes
HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP, COEP, CORP, Server, X-Powered-By e X-XSS-Protection. Cada um tem peso na nota final conforme impacto em segurança.
CSP vale 25 pontos, HSTS 20, X-Frame-Options 10, Permissions-Policy 10, Referrer-Policy 10, COOP 7, X-Content-Type-Options 5, COEP/CORP 4 cada. A nota considera percentual do total e penaliza ausência de headers críticos.
O navegador bloqueia leitura de headers de respostas de outras origens por CORS. O modo URL usa proxy público, mas alguns headers podem ser filtrados ou WAFs bloqueiam o proxy. Para resultado autoritativo, sempre prefira colar o output de curl -I.
X-Frame-Options é o header legado (DENY/SAMEORIGIN). CSP frame-ancestors é o substituto moderno - permite lista de origens, wildcards e está integrado ao CSP. Navegadores modernos priorizam frame-ancestors quando ambos estão presentes.
Sim. CSP é a defesa principal contra XSS. Comece em Report-Only, ajuste até ficar limpa, depois enforce. Evite unsafe-inline e unsafe-eval - prefira nonces e hashes. Adicione frame-ancestors, base-uri e object-src 'none'.
COOP same-origin + COEP require-corp colocam a página em estado isolado. Habilita SharedArrayBuffer, performance.measureUserAgentSpecificMemory e timers de alta resolução. Não é necessário em sites comuns, mas é defesa adicional contra Spectre.
Configuração de hardening web
Implementamos CSP enforced sem quebrar a aplicação, HSTS preload, e o stack completo de defesa em profundidade no servidor web e na borda (Cloudflare/AWS WAF).
Falar com Especialista