Security Headers Scan
Analise HSTS, CSP, X-Frame-Options e os principais headers de segurança — com diagnóstico por header e recomendações práticas, sem criar conta.
Nenhum dado é armazenado ou compartilhado.
Entenda os headers
O que são security headers e por que importam
Security headers são instruções HTTP que o servidor envia ao navegador para reduzir riscos como XSS, clickjacking e vazamento de referrer. HSTS, CSP, X-Frame-Options e Referrer-Policy são os mais críticos.
Headers avançados como Permissions-Policy, COOP, COEP e CORP reforçam o isolamento cross-origin — essenciais para aplicações modernas e sinais de maturidade de segurança.
Esta ferramenta avalia apenas headers de segurança HTTP observados em um GET único à URL informada (evidência proxy). Não substitui auditoria de segurança completa nem varredura de todo o site.
Por que verificar
Três boas razões para escanear agora
Proteção contra ataques comuns
CSP e X-Frame-Options mitigam XSS e clickjacking — vetores frequentes em sites sem hardening básico.
HTTPS e confiança
HSTS força conexões seguras e sinaliza maturidade técnica — pré-requisito para qualquer header de segurança fazer sentido.
Nota clara e acionável
Nota de 0–100 com classificação A+ a F e recomendações por header — priorize correções críticas antes de avançar para headers avançados.
Como funciona
Diagnóstico em três passos
Informe a URL
Digite o endereço do site. Aceita example.com, www ou URL completa com http/https.
Analisamos os headers
Buscamos a URL via proxy seguro e avaliamos 10 headers de segurança com regras determinísticas.
Receba a nota e correções
Veja score, classificação (A+ a F) e tabela com valor encontrado e recomendação para cada header.
Perguntas frequentes
Dúvidas sobre security headers
Como funciona a classificação de A+ a F?
Inspirada no HTTP Observatory da MDN: partimos de 100 pontos, aplicamos penalidades por header ausente ou mal configurado e bônus por boas práticas extras. As notas vão de A+ a F (A+, A, B+, B, C+, C, D+, D, F). A+ exige score 100 com os 9 headers de segurança em pass. HTTP puro recebe F; redirect não seguido recebe R.
Por que testar a URL final?
O scan lê apenas os headers da resposta final após redirects seguidos pelo proxy. HSTS costuma aparecer no primeiro hop HTTPS — informe a URL canônica do site.
CSP Report-Only conta?
Não para pass. Content-Security-Policy-Report-Only só reporta violações — sem enforcement. Sites só com Report-Only recebem warn, não pass.
X-Frame-Options ainda importa com CSP?
Se o CSP enforcement inclui frame-ancestors, X-Frame-Options é obsoleto (regra shcheck). Caso contrário, DENY ou SAMEORIGIN ainda são necessários.
Por que headers deprecated não aparecem?
X-XSS-Protection, Expect-CT e HPKP estão obsoletos e podem confundir. Focamos nos 10 headers vivos recomendados pela OWASP.
Posso tirar A sem COOP/COEP/CORP?
Sim. Headers avançados ausentes geram warn leve (-5 cada). B+ (≥80) é possível com HSTS, CSP, XFO, XCTO e Referrer perfeitos; A+ exige score 100 e os 9 checks com pass.
Qual a diferença para o AI Visibility Check?
O AI Visibility Check pontua security headers de forma agregada no GEO Score (contagem simples). Esta ferramenta analisa valor e qualidade de cada header com score dedicado e classificação A+ a F.