Saltar al contenido
Especialista LV

Inspetor de cabeçalhos HTTP

Mostra todos os headers HTTP do servidor — cache, segurança, compressão, cookies — com auditoria automática.

100% gratuita, sem cadastro Não armazenamos logs do que você consulta Protegida por Cloudflare Turnstile

Buscamos a URL com método GET e mostramos todos os headers de resposta agrupados por função.

Como funciona o Headers HTTP

Headers agrupados por funçãoSegurançaHSTSCSPX-FrameXCTOCacheCache-ControlETagLast-ModifiedServidorServerX-Powered-Bycf-rayCompressãogzipbrContent-Encoding

Fazemos uma requisição GET e mostramos todos os headers HTTP do servidor, agrupados por função: segurança (HSTS, CSP, X-Frame-Options), cache (Cache-Control, ETag), compressão, CDN e cookies.

A auditoria automática aponta headers de segurança ausentes e os que vazam informação sobre o stack (Server, X-Powered-By).

Perguntas frequentes

Quais headers de segurança são essenciais para uma loja virtual?

Strict-Transport-Security (força HTTPS), Content-Security-Policy (previne XSS), X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN (anti-clickjacking) e Referrer-Policy: strict-origin-when-cross-origin. Cookies de sessão devem ser HttpOnly + Secure + SameSite=Lax.

O que é HSTS e por que ativar?

HTTP Strict Transport Security informa ao navegador "este site só responde via HTTPS — nunca tente HTTP". Previne ataques de downgrade. Configure max-age=31536000 (1 ano) e adicione includeSubDomains se todos os subdomínios usam HTTPS.

Preciso de Content-Security-Policy?

Sim, é a principal defesa moderna contra XSS. Comece com uma CSP restritiva em modo Report-Only para descobrir o que sua loja realmente carrega, ajuste e depois ative em modo enforce. Permita apenas as origens necessárias (Google Tag Manager, Cloudflare Insights, etc.).

Devo expor o header Server e X-Powered-By?

Não. Esses headers vazam versão do nginx/Apache/PHP, facilitando o trabalho de bots automatizados que procuram versões com CVE conhecidas. Configure o nginx com server_tokens off; e o PHP com expose_php = Off.

Referências oficiais

Fontes primárias usadas na construção desta ferramenta. Use-as para aprofundar ou validar os critérios técnicos.

Ferramentas relacionadas

Site está online?

Descubra em segundos se a sua loja virtual está fora do ar ou apresentando lentidão.

Abrir

Redirecionamentos

Trace a cadeia de redirecionamentos de uma URL e identifique loops e desperdício de link juice.

Abrir

DNS lookup

Consulte os registros DNS de qualquer domínio: A, AAAA, MX, TXT (SPF/DKIM), CNAME, NS e SOA.

Abrir