Inspetor de cabeçalhos HTTP
Inspecione os headers de resposta e a política de segurança de qualquer URL. Verifique HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy junto com Server, Content-Type, Cache-Control em um clique.
Insira uma URL pública. Nosso servidor a busca uma vez e retorna os cabeçalhos de resposta — sem corpo, sem execução de JavaScript.
O que procurar
Modern sites use response headers to harden the browser against attacks. Strict-Transport-Security forces HTTPS. Content-Security-Policy limits which scripts and frames can load.
Casos de uso comuns
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Depure uma cadeia de redirecionamentos — cole uma URL de campanha ou link encurtado e observe cada salto 301/302 até a landing page final, mais a URL final que o navegador carrega.
- 3Confirme cache e config de CDN — Cache-Control, ETag, Age e CF-Cache-Status revelam se seus assets vêm da origin, do edge cache ou de um stale revalidate.
Perguntas frequentes
What's a good security header score?+
Um site moderno deve enviar pelo menos HSTS, CSP, X-Frame-Options ou frame-ancestors no CSP, X-Content-Type-Options: nosniff e uma Referrer-Policy. Permissions-Policy é cada vez mais esperada.
Meu site não tem nenhum desses cabeçalhos — é ruim?+
É uma oportunidade perdida, nem sempre uma emergência. Adicione primeiro HSTS para travar o site em HTTPS. Depois uma Referrer-Policy estrita. CSP é a defesa mais forte, mas exige mais planejamento.
Por que o cabeçalho Server está oculto em alguns sites?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.