Verificação de cabeçalhos de segurança

Informe a URL do seu site para avaliar seus cabeçalhos HTTP de segurança (CSP, HSTS, X-Frame-Options, …), com correções para o que estiver faltando e um conjunto reforçado para copiar e colar.

O servidor deste site busca a URL de destino uma única vez e avalia apenas os cabeçalhos da resposta (o corpo não é armazenado). O acesso a endereços internos / privados está bloqueado.

Testar um exemplo (verificar este próprio site)

Nota geral

86 / 100

https://itdef.net/ja

Content-Security-PolicyFraco
Valor atual: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
Camada-chave que reduz o impacto de XSS. Evite unsafe-inline. default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security (HSTS)OK
Valor atual: max-age=63072000; includeSubDomains; preload
X-Frame-OptionsOK
Valor atual: DENY
X-Content-Type-OptionsOK
Valor atual: nosniff
Referrer-PolicyOK
Valor atual: strict-origin-when-cross-origin
Permissions-PolicyOK
Valor atual: camera=(), microphone=(), geolocation=(), browsing-topics=()
Cross-Origin-Opener-PolicyOK
Valor atual: same-origin-allow-popups
Divulgação de informação (Server / X-Powered-By)OK

Prompt de remediação para IA (copiar e colar)

Cole no Claude / ChatGPT para obter correções concretas para a sua stack.

Você é um especialista em segurança web. Ao meu site (https://itdef.net/ja) faltam alguns cabeçalhos HTTP de segurança. Somente para fins defensivos, diga-me como configurar o seguinte com segurança no meu servidor/framework (nginx / Caddy / Apache / Next.js, etc.) com exemplos de código concretos. Se não souber qual servidor eu uso, pergunte. Diga-me também como verificar depois que os cabeçalhos foram aplicados corretamente.

- Content-Security-Policy（fraco）→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

Nota: mantenha o comportamento existente funcionando (analytics, anúncios); torne a configuração retrocompatível. Não são necessárias técnicas de ataque nem bypass.

Cabeçalhos recomendados (ponto de partida para copiar e colar)

Comece retornando-os do seu servidor (nginx / Caddy / aplicação).

Content-Security-Policy: default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

Como usar

1
Informe a URL de um site que você controla.
2
Os principais cabeçalhos de segurança são avaliados quanto à presença e à força.
3
Reforce os itens «ausentes» / «fracos» usando a correção mostrada e o conjunto recomendado.

Por que importa

Cabeçalhos de segurança são uma camada de defesa barata e eficaz. O CSP limita o impacto de XSS, o HSTS fixa o tráfego em HTTPS, o X-Frame-Options bloqueia o clickjacking: cada um são poucas linhas de configuração do servidor. Comece com valores estritos e os relaxe apenas quando necessário.

Perguntas frequentes

QTudo bem verificar o site de outra pessoa?

A ferramenta busca a URL uma vez e lê os cabeçalhos da resposta: não há varredura ativa nem ataque (o mesmo escopo de abri-la em um navegador). Ela foi pensada para verificar o seu próprio site.

QQualquer resultado abaixo de A é perigoso?

Não. Alguns cabeçalhos não se aplicam a todos os sites. Os importantes são CSP, HSTS, X-Frame-Options e X-Content-Type-Options; com esses em vigor, você está em boa forma.