Inspetor de cabeçalhos HTTP

O que são cabeçalhos HTTP?

Os cabeçalhos HTTP são metadados enviados entre um cliente (browser) e um servidor com cada pedido e resposta web. Controlam a cache, a autenticação, o tipo de conteúdo, as políticas de segurança e muitos outros aspetos da comunicação web. Esta ferramenta permite inspecionar os cabeçalhos de resposta devolvidos por qualquer URL, ajudando a depurar aplicações web e a verificar configurações de segurança.

Os cabeçalhos são pares chave-valor enviados antes do conteúdo real da página. Os cabeçalhos de resposta comuns incluem Content-Type (que tipo de dados está a ser enviado), Cache-Control (durante quanto tempo armazenar em cache a resposta), Set-Cookie (armazenar dados de sessão) e vários cabeçalhos de segurança como Content-Security-Policy e Strict-Transport-Security.

Cabeçalhos de segurança importantes

• Strict-Transport-Security (HSTS) — força os browsers a usar HTTPS em todas as ligações futuras.
• Content-Security-Policy (CSP) — controla quais os recursos que a página pode carregar, prevenindo ataques XSS.
• X-Content-Type-Options — impede os browsers de adivinhar tipos de conteúdo, bloqueando certos ataques.
• X-Frame-Options — impede que a sua página seja incorporada em iframes noutros sites (proteção contra clickjacking).
• Referrer-Policy — controla a quantidade de informação de referência enviada ao navegar para fora do seu site.

Como utilizar esta ferramenta

Introduza um URL e a ferramenta obtém a página e apresenta todos os cabeçalhos de resposta. Os cabeçalhos relevantes para a segurança são destacados e avaliados. Os cabeçalhos de segurança recomendados em falta são assinalados para que possa melhorar a configuração de segurança do seu site.

Cabeçalhos de cache explicados

Os cabeçalhos Cache-Control determinam se e durante quanto tempo os browsers e CDNs armazenam as respostas. As diretivas comuns incluem max-age (segundos para armazenar em cache), no-cache (revalidar antes de usar a cópia em cache), no-store (nunca armazenar em cache) e public/private (se as caches partilhadas como CDNs podem armazená-la). Uma cache adequada melhora dramaticamente a velocidade de carregamento da página e reduz a carga do servidor.

Perguntas frequentes

Por que devo verificar os cabeçalhos HTTP?

Os cabeçalhos revelam configurações de segurança incorretas (HSTS ou CSP em falta), problemas de cache (max-age incorreto a causar conteúdo desatualizado) e fugas de informação do servidor (cabeçalho Server a revelar versões exatas de software). Verificar os cabeçalhos regularmente ajuda a manter a segurança e o desempenho. As ferramentas de auditoria de segurança e os testadores de penetração começam sempre pela análise de cabeçalhos.

Qual é a diferença entre cabeçalhos de pedido e cabeçalhos de resposta?

Os cabeçalhos de pedido são enviados pelo browser ao servidor (como Accept, User-Agent, Cookie). Os cabeçalhos de resposta são enviados pelo servidor de volta ao browser (como Content-Type, Set-Cookie, Cache-Control). Esta ferramenta mostra os cabeçalhos de resposta porque revelam a configuração e as definições de segurança do servidor. Pode ver os cabeçalhos de pedido nas ferramentas de programador do seu browser (separador Rede).