SearchUnit
Ferramenta gratuita

Security Headers Scan

Analise HSTS, CSP, X-Frame-Options e os principais headers de segurança — com diagnóstico por header e recomendações práticas, sem criar conta.

Nenhum dado é armazenado ou compartilhado.

Entenda os headers

O que são security headers e por que importam

Security headers são instruções HTTP que o servidor envia ao navegador para reduzir riscos como XSS, clickjacking e vazamento de referrer. HSTS, CSP, X-Frame-Options e Referrer-Policy são os mais críticos.

Headers avançados como Permissions-Policy, COOP, COEP e CORP reforçam o isolamento cross-origin — essenciais para aplicações modernas e sinais de maturidade de segurança.

Esta ferramenta avalia apenas headers de segurança HTTP observados em um GET único à URL informada (evidência proxy). Não substitui auditoria de segurança completa nem varredura de todo o site.

Por que verificar

Três boas razões para escanear agora

Proteção contra ataques comuns

CSP e X-Frame-Options mitigam XSS e clickjacking — vetores frequentes em sites sem hardening básico.

HTTPS e confiança

HSTS força conexões seguras e sinaliza maturidade técnica — pré-requisito para qualquer header de segurança fazer sentido.

Nota clara e acionável

Nota de 0–100 com classificação A+ a F e recomendações por header — priorize correções críticas antes de avançar para headers avançados.

Como funciona

Diagnóstico em três passos

  1. Informe a URL

    Digite o endereço do site. Aceita example.com, www ou URL completa com http/https.

  2. Analisamos os headers

    Buscamos a URL via proxy seguro e avaliamos 10 headers de segurança com regras determinísticas.

  3. Receba a nota e correções

    Veja score, classificação (A+ a F) e tabela com valor encontrado e recomendação para cada header.

Perguntas frequentes

Dúvidas sobre security headers

Como funciona a classificação de A+ a F?

Inspirada no HTTP Observatory da MDN: partimos de 100 pontos, aplicamos penalidades por header ausente ou mal configurado e bônus por boas práticas extras. As notas vão de A+ a F (A+, A, B+, B, C+, C, D+, D, F). A+ exige score 100 com os 9 headers de segurança em pass. HTTP puro recebe F; redirect não seguido recebe R.

Por que testar a URL final?

O scan lê apenas os headers da resposta final após redirects seguidos pelo proxy. HSTS costuma aparecer no primeiro hop HTTPS — informe a URL canônica do site.

CSP Report-Only conta?

Não para pass. Content-Security-Policy-Report-Only só reporta violações — sem enforcement. Sites só com Report-Only recebem warn, não pass.

X-Frame-Options ainda importa com CSP?

Se o CSP enforcement inclui frame-ancestors, X-Frame-Options é obsoleto (regra shcheck). Caso contrário, DENY ou SAMEORIGIN ainda são necessários.

Por que headers deprecated não aparecem?

X-XSS-Protection, Expect-CT e HPKP estão obsoletos e podem confundir. Focamos nos 10 headers vivos recomendados pela OWASP.

Posso tirar A sem COOP/COEP/CORP?

Sim. Headers avançados ausentes geram warn leve (-5 cada). B+ (≥80) é possível com HSTS, CSP, XFO, XCTO e Referrer perfeitos; A+ exige score 100 e os 9 checks com pass.

Qual a diferença para o AI Visibility Check?

O AI Visibility Check pontua security headers de forma agregada no GEO Score (contagem simples). Esta ferramenta analisa valor e qualidade de cada header com score dedicado e classificação A+ a F.

Quer uma auditoria completa do site?

Essa ferramenta está em testes. Registre seu interesse e seja informado assim que a ferramenta for lançada.

Usaremos seu e-mail apenas para avisar sobre o lançamento.