Referência de Cabeçalhos de Segurança HTTP
Referência e verificador de cabeçalhos de segurança HTTP — CSP, HSTS, X-Frame-Options, CORS e mais.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Valor Recomendado: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Risco de Segurança Sem: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Valor Recomendado: max-age=31536000; includeSubDomains; preload
Risco de Segurança Sem: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Valor Recomendado: DENY or SAMEORIGIN
Risco de Segurança Sem: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Valor Recomendado: nosniff
Risco de Segurança Sem: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Valor Recomendado: strict-origin-when-cross-origin
Risco de Segurança Sem: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Valor Recomendado: camera=(), microphone=(), geolocation=(self)
Risco de Segurança Sem: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Valor Recomendado: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Risco de Segurança Sem: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Valor Recomendado: GET, POST, PUT, DELETE (only what is needed)
Risco de Segurança Sem: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Valor Recomendado: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Risco de Segurança Sem: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Valor Recomendado: same-origin or same-site
Risco de Segurança Sem: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Valor Recomendado: same-origin
Risco de Segurança Sem: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Valor Recomendado: 1; mode=block (legacy) or omit in favor of CSP
Risco de Segurança Sem: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Verificador de Cabeçalhos
Cole seus cabeçalhos de resposta HTTP para verificar
Sobre esta ferramenta
Cabeçalhos de segurança HTTP são cabeçalhos de resposta especializados que indicam aos navegadores web como se protegerem contra vulnerabilidades web comuns. Ao contrário dos cabeçalhos HTTP gerais que controlam cache ou entrega de conteúdo, os cabeçalhos de segurança criam um perímetro defensivo ao redor da sua aplicação web, prevenindo ataques como cross-site scripting (XSS), clickjacking, exploração de tipo MIME e roubo de dados entre origens.
Esta ferramenta fornece tanto uma referência abrangente para todos os principais cabeçalhos de segurança quanto um verificador interativo que analisa sua postura de segurança atual. Cole seus cabeçalhos de resposta HTTP ou digite um domínio, e instantaneamente você verá quais cabeçalhos de segurança estão presentes, quais estão faltando e como sua configuração se compara às melhores práticas da indústria.
Desenvolvedores web, engenheiros de DevOps e equipes de segurança usam esta referência para fortalecer suas implementações sem alterações de código. A maioria dos cabeçalhos de segurança são configurados puramente através de configurações de servidor, regras de proxy reverso ou plugins de framework de aplicação — tornando-os uma das vitórias mais rápidas para melhorar a resiliência do seu site contra ameaças modernas.
Perguntas Frequentes
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.