Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Verificação de cabeçalhos de segurança

Informe a URL do seu site para avaliar seus cabeçalhos HTTP de segurança (CSP, HSTS, X-Frame-Options, …), com correções para o que estiver faltando e um conjunto reforçado para copiar e colar.

O servidor deste site busca a URL de destino uma única vez e avalia apenas os cabeçalhos da resposta (o corpo não é armazenado). O acesso a endereços internos / privados está bloqueado.
Testar um exemplo (verificar este próprio site)

Como usar

  1. 1

    Informe a URL de um site que você controla.

  2. 2

    Os principais cabeçalhos de segurança são avaliados quanto à presença e à força.

  3. 3

    Reforce os itens «ausentes» / «fracos» usando a correção mostrada e o conjunto recomendado.

Por que importa

Cabeçalhos de segurança são uma camada de defesa barata e eficaz. O CSP limita o impacto de XSS, o HSTS fixa o tráfego em HTTPS, o X-Frame-Options bloqueia o clickjacking: cada um são poucas linhas de configuração do servidor. Comece com valores estritos e os relaxe apenas quando necessário.

Perguntas frequentes

QTudo bem verificar o site de outra pessoa?
A

A ferramenta busca a URL uma vez e lê os cabeçalhos da resposta: não há varredura ativa nem ataque (o mesmo escopo de abri-la em um navegador). Ela foi pensada para verificar o seu próprio site.

QQualquer resultado abaixo de A é perigoso?
A

Não. Alguns cabeçalhos não se aplicam a todos os sites. Os importantes são CSP, HSTS, X-Frame-Options e X-Content-Type-Options; com esses em vigor, você está em boa forma.

Páginas relacionadas