# Analisador de Cabeçalhos de Segurança

> Cole uma resposta HTTP e veja uma análise com nota dos cabeçalhos de segurança, flags de cookies e política de origem cruzada, verificada contra OWASP, RFC 6797, CSP Level 3 e RFC 6265bis.

- Tool: https://ronutz.com/pt-BR/tools/secure-headers
- Family: Segurança e WAF

---

## O que faz

Cole uma resposta HTTP bruta e a ferramenta avalia sua postura de segurança: os cabeçalhos de segurança que ela define (e os que faltam), as flags dos seus cookies e sua política de origem cruzada. Cada achado é verificado contra o padrão relevante e contra as recomendações do OWASP Secure Headers, e o resultado é uma análise com nota sobre a qual você pode agir. Ela roda inteiramente no seu navegador.

## Os cabeçalhos que ela verifica

A segurança dos navegadores modernos é, em boa parte, opcional por meio de cabeçalhos de resposta, e a ferramenta olha os que importam:

- **Strict-Transport-Security** (HSTS, RFC 6797) diz ao navegador para usar apenas HTTPS; a ferramenta lê seu `max-age` e o `includeSubDomains`.
- **Content-Security-Policy** (CSP Level 3) restringe de onde scripts, estilos e frames podem vir, e é a defesa mais forte contra cross-site scripting; a ferramenta assinala palavras-chave que enfraquecem, como `unsafe-inline`.
- **X-Content-Type-Options: nosniff** impede o navegador de adivinhar tipos de conteúdo, e **X-Frame-Options** (ou o `frame-ancestors` do CSP) defende contra clickjacking.
- **Referrer-Policy** e **Permissions-Policy** controlam o que a página vaza no cabeçalho Referer e quais recursos do navegador ela pode usar.
- As **políticas de origem cruzada** (COOP, COEP, CORP) que governam o isolamento entre origens.

## Cookies e suas flags

A segurança de um cookie vive em seus atributos, e a ferramenta os verifica contra a especificação atual de cookies (RFC 6265bis): **Secure** (enviado apenas por HTTPS), **HttpOnly** (oculto do JavaScript, o que reduz o roubo via cross-site scripting) e **SameSite** (que limita o envio entre sites e mitiga CSRF). Ela também reconhece os prefixos de nome `__Host-` e `__Secure-`, que impõem algumas dessas propriedades pelo próprio nome.

## Lendo a nota

O objetivo da nota é priorização: ela diz não só o que está presente, mas o que falta ou está fraco, e por que cada cabeçalho importa, para que você corrija primeiro as lacunas de maior impacto. As verificações seguem o conjunto recomendado do OWASP e as especificações subjacentes, e não a opinião de uma única ferramenta.

## Como usar

Cole uma resposta HTTP, incluindo seus cabeçalhos, e leia a análise com nota de cabeçalhos, cookies e política de origem cruzada. A análise é determinística e local, então é seguro rodá-la em uma resposta capturada de qualquer site.

## Standards and references

- [OWASP Secure Headers Project](https://owasp.org/www-project-secure-headers/) - the recommended response-header set, recommended values, and rationale
- [MDN - HTTP headers reference](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers) - per-header syntax, directives, and browser semantics
- [RFC 6797 - HTTP Strict Transport Security (HSTS)](https://www.rfc-editor.org/rfc/rfc6797) - Strict-Transport-Security: max-age, includeSubDomains semantics
- [Content Security Policy Level 3 (W3C)](https://www.w3.org/TR/CSP3/) - CSP directives, source expressions, frame-ancestors, the unsafe keywords
- [draft-ietf-httpbis-rfc6265bis - HTTP State Management (Cookies)](https://datatracker.ietf.org/doc/draft-ietf-httpbis-rfc6265bis/) - Set-Cookie attributes: Secure, HttpOnly, SameSite, and the __Host-/__Secure- prefixes
- [RFC 7034 - HTTP Header Field X-Frame-Options](https://www.rfc-editor.org/rfc/rfc7034) - X-Frame-Options DENY / SAMEORIGIN; ALLOW-FROM is obsolete
- [Referrer Policy (W3C)](https://www.w3.org/TR/referrer-policy/) - Referrer-Policy tokens and their referrer-trimming behaviour
- [Permissions Policy (W3C)](https://www.w3.org/TR/permissions-policy/) - Permissions-Policy allow-list syntax (successor to Feature-Policy)
- [HTML Standard (WHATWG) - Cross-Origin-Opener-Policy](https://html.spec.whatwg.org/multipage/browsers.html) - COOP values (same-origin, same-origin-allow-popups, unsafe-none)
- [Fetch Standard (WHATWG)](https://fetch.spec.whatwg.org/) - Cross-Origin-Embedder-Policy and Cross-Origin-Resource-Policy; nosniff MIME checks

## Related reading

- [Cabeçalhos de Segurança HTTP: a Camada de Defesa em Profundidade](https://ronutz.com/pt-BR/learn/secure-headers-overview.md): O que são os cabeçalhos de segurança HTTP, por que formam uma camada de defesa sobre o código seguro em vez de substituí-lo, quais cabeçalhos têm mais peso e como ler a postura de uma resposta rapidamente.
- [Clickjacking e Controle de Enquadramento](https://ronutz.com/pt-BR/learn/clickjacking-and-framing.md): O que é clickjacking, como o enquadramento o torna possível, a diferença entre o cabeçalho legado X-Frame-Options e a diretiva moderna CSP frame-ancestors, por que ALLOW-FROM é obsoleto e como os dois controles interagem.
- [Content Security Policy, Diretiva por Diretiva](https://ronutz.com/pt-BR/learn/content-security-policy.md): Como a CSP funciona como controle contra cross-site scripting e injeção: a forma de uma política, por que default-src importa, o que 'unsafe-inline' e 'unsafe-eval' entregam, como nonces e hashes permitem código inline específico com segurança e para que serve o modo report-only.
- [Flags de Segurança de Cookies](https://ronutz.com/pt-BR/learn/cookie-security-flags.md): Como Secure, HttpOnly e SameSite protegem os cookies de sessão, o que cada valor de SameSite significa, por que SameSite=None exige Secure e como os prefixos __Host- e __Secure- impõem essas garantias no nível do navegador.
- [HSTS e a Exigência de HTTPS](https://ronutz.com/pt-BR/learn/hsts-and-https.md): Como o Strict-Transport-Security fecha a janela de downgrade para HTTP, o que max-age, includeSubDomains e preload fazem, a brecha de confiança no primeiro uso que o preload remove e os erros de configuração que silenciosamente o desativam.
