Verificador de cabeçalhos de segurança
Digite a URL de um site para verificar se cabeçalhos de segurança essenciais como HSTS, CSP e X-Frame-Options estão configurados corretamente. Veja quais cabeçalhos estão ausentes ou fracos, com dicas para corrigi-los.
Dicas
- Esta ferramenta busca a URL de destino no lado do servidor, portanto pode verificar os cabeçalhos de qualquer site sem esbarrar nas restrições de CORS do navegador.
- Um max-age de HSTS mais longo costuma ser mais seguro, mas se você planeja alterar a configuração do certificado, teste primeiro com um valor mais curto antes de aplicá-lo em produção.
- Combine esta ferramenta com o Validador de CSP irmão (dev.server.csp_validator) para revisar em detalhe a sintaxe real da sua Content-Security-Policy.
- Esta ferramenta reutiliza o mesmo mecanismo de "digitar uma URL e buscá-la no servidor" do verificador de robots.txt, portanto pode verificar qualquer página pública sem autenticação.
- Verifique seu próprio site periodicamente para garantir que uma mudança na configuração de um CDN ou proxy reverso não tenha removido silenciosamente um cabeçalho de segurança.
Perguntas frequentes
Curiosidade — securityheaders.com e a história da defesa contra clickjacking
O diagnóstico de configurações de segurança por meio de cabeçalhos de resposta HTTP tem sido dominado há muito tempo pelo securityheaders.com, criado por Scott Helme. Como muitos serviços estrangeiros explicam resultados e correções apenas em inglês, a Toolbase criou seu próprio verificador para que resultados e explicações possam ser revisados juntos em japonês como alternativa nessa área.
O HSTS (HTTP Strict Transport Security) foi padronizado pela IETF como RFC 6797 em 2012. A origem remonta a uma demonstração de 2009 do "SSL Stripping", um ataque que explora o breve momento em que um usuário digita uma URL sem https:// e o navegador se conecta primeiro via HTTP não criptografado, permitindo que um atacante reescreva o tráfego. O HSTS permite que um navegador memorize que "este domínio deve sempre ser acessado via HTTPS", evitando ataques de downgrade após a primeira visita.
O X-Frame-Options era originalmente um cabeçalho de extensão proprietário introduzido pela Microsoft para o Internet Explorer 8 em 2009, adotado posteriormente por outros navegadores até se tornar um padrão de fato. A preocupação da época era o "clickjacking", em que um iframe invisível é sobreposto a um botão de aparência autêntica para que o usuário clique sem perceber. Hoje a indústria caminha para a diretiva frame-ancestors, mais flexível, do Content-Security-Policy, mas especificar ambos ainda é recomendado como reforço para navegadores antigos que não a suportam.