Quais cabeçalhos de segurança são mais importantes?

Em ordem de prioridade: (1) Content-Security-Policy — previne XSS, a vulnerabilidade web mais comum. (2) Strict-Transport-Security — garante HTTPS. (3) X-Content-Type-Options — previne MIME sniffing. (4) X-Frame-Options — previne clickjacking. Esses quatro abordam os vetores de ataque mais críticos.

Qual nota devo buscar?

Nota A requer todos os cabeçalhos críticos configurados corretamente: HSTS com max-age longo, CSP sem unsafe-inline/eval, X-Content-Type-Options, X-Frame-Options e Referrer-Policy. A maioria dos sites em produção deve mirar pelo menos Nota B. Nota A é alcançável com configuração cuidadosa.

Will adding cabeçalhos de segurança break my site?

Alguns cabeçalhos podem causar problemas: CSP pode bloquear recursos legítimos se muito restritivo, HSTS previne acesso HTTP inteiramente (garanta que HTTPS funcione primeiro), X-Frame-Options bloqueia incorporação. Teste em staging primeiro e use modo report-only do CSP para identificar problemas antes da aplicação.

Como eu add these headers to my server?

No Nginx: diretiva add_header no bloco server. No Apache: Header set no .htaccess ou httpd.conf. No Express: use o middleware helmet (npm install helmet). No Next.js: configure headers no next.config.js. No Cloudflare: use Transform Rules ou Workers.

Devo use X-XSS-Protection?

Defina como '0' para desabilitar. O auditor XSS do navegador foi removido do Chrome (v78) e Edge, e tinha falhas de segurança que podiam ser exploradas. Content-Security-Policy é a defesa adequada contra XSS. Não dependa do X-XSS-Protection.

Como usar esta ferramenta no Claude/Cursor?

Você pode usar esta ferramenta via MCP. Adicione o servidor MCP do Toolypet à configuração do seu agente AI com 'npx -y @toolypet/mcp-server@latest'. Depois peça ao seu AI para usar mcp__toolypet__security_header_checker com seus parâmetros.

O que é MCP e por que o Toolypet o suporta?

MCP (Model Context Protocol) é um padrão aberto que permite que agentes AI como Claude e Cursor usem ferramentas externas. O Toolypet suporta MCP para que você possa usar todas as mais de 65 ferramentas tanto no navegador quanto através de agentes AI, integrando cálculos e operações perfeitamente ao seu fluxo de trabalho com AI.

Verificador de Headers de Seguranca | Toolypet

Verificador de headers de seguranca gratuito online. Analise headers HTTP de seguranca. Disponivel como MCP.

O que é isso?

Um analisador de cabeçalhos de segurança HTTP que audita sites em busca de cabeçalhos de segurança essenciais incluindo HSTS, X-Frame-Options, CSP, X-Content-Type-Options e mais. Fornece uma nota de segurança (A-F) com achados específicos e recomendações de remediação.

Entrada

Cabeçalhos de segurança comuns

Ou Cole os Cabeçalhos Diretamente

Pré-visualização

Digite uma URL ou cole os cabeçalhos para analisar

Como Usar

Insira cabeçalhos de resposta HTTP como pares chave-valor. A ferramenta verifica a presença e configuração correta de todos os cabeçalhos de segurança recomendados, identifica cabeçalhos ausentes, sinaliza configurações incorretas e fornece uma nota geral de segurança com recomendações priorizadas de correção.

Análise Aprofundada

Cabeçalhos de segurança HTTP essenciais e seus propósitos: 1. Strict-Transport-Security (HSTS): Diz aos navegadores para sempre usar HTTPS. Previne ataques de SSL stripping. Recomendado: Strict-Transport-Security: max-age=63072000; includeSubDomains; preload Aviso: Comece com um max-age curto (300) e aumente gradualmente. HSTS não pode ser desfeito até o max-age expirar. 2. Content-Security-Policy (CSP): Controla quais recursos o navegador pode carregar. A principal defesa contra XSS. Comece com: Content-Security-Policy-Report-Only para testar sem quebrar o site. 3. X-Content-Type-Options: Previne MIME type sniffing. Sempre defina como 'nosniff'. Sem isso, navegadores podem interpretar um arquivo de texto como JavaScript se contiver código JS válido. 4. X-Frame-Options: Previne clickjacking controlando a incorporação em iframes. Opções: DENY (sem incorporação), SAMEORIGIN (apenas mesmo domínio). Nota: Substituído pela diretiva frame-ancestors do CSP, mas ainda necessário para navegadores mais antigos. 5. Referrer-Policy: Controla quanta informação de referrer é enviada com requisições. Recomendado: strict-origin-when-cross-origin (envia URL completa para mesma origem, apenas origem para cross-origin) 6. Permissions-Policy (anteriormente Feature-Policy): Controla quais recursos do navegador são permitidos (câmera, microfone, geolocalização). Exemplo: Permissions-Policy: camera=(), microphone=(), geolocation=(self) 7. X-XSS-Protection: Descontinuado. Defina como '0' para desabilitar o auditor XSS bugado do navegador. CSP é a defesa adequada contra XSS. Prioridade de implementação: Comece com HSTS + X-Content-Type-Options (fácil, alto impacto), depois adicione CSP (complexo, mas essencial), depois os demais cabeçalhos.

Exemplos

Audite todos os cabeçalhos de segurança do seu site em produção e obtenha uma nota A-F
Identifique cabeçalhos de segurança ausentes que deixam seu site vulnerável a ataques
Verifique se o HSTS está configurado corretamente com includeSubDomains e preload
Verifique se o cabeçalho CSP está presente e restringindo corretamente fontes de script
Compare a cobertura de cabeçalhos de segurança antes e depois de mudanças na configuração do servidor

Instalar servidor MCP do Toolypet

Adicione as ferramentas do Toolypet ao seu agente de IA com um único comando. Compatível com Claude Desktop, Claude Code, Cursor e qualquer cliente compatível com MCP.

Início rápido

npx -y @toolypet/mcp-server@latest

Configuração do cliente MCP

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Nome da ferramenta:mcp__toolypet__security_header_checker

Exemplo de prompt

Check security headers: X-Frame-Options DENY, Strict-Transport-Security max-age=31536000

Exemplo de Entrada

{
  "headers": {
    "X-Frame-Options": "DENY",
    "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
    "X-Content-Type-Options": "nosniff"
  }
}

Exemplo de Saída

{
  "score": 75,
  "grade": "B",
  "present": [
    "X-Frame-Options",
    "Strict-Transport-Security",
    "X-Content-Type-Options"
  ],
  "missing": [
    "Content-Security-Policy",
    "Referrer-Policy",
    "Permissions-Policy"
  ],
  "recommendations": [
    "Add Content-Security-Policy header",
    "Add Referrer-Policy header"
  ]
}

Perguntas Frequentes

Quais cabeçalhos de segurança são mais importantes?: Em ordem de prioridade: (1) Content-Security-Policy — previne XSS, a vulnerabilidade web mais comum. (2) Strict-Transport-Security — garante HTTPS. (3) X-Content-Type-Options — previne MIME sniffing. (4) X-Frame-Options — previne clickjacking. Esses quatro abordam os vetores de ataque mais críticos.
Qual nota devo buscar?: Nota A requer todos os cabeçalhos críticos configurados corretamente: HSTS com max-age longo, CSP sem unsafe-inline/eval, X-Content-Type-Options, X-Frame-Options e Referrer-Policy. A maioria dos sites em produção deve mirar pelo menos Nota B. Nota A é alcançável com configuração cuidadosa.
Will adding cabeçalhos de segurança break my site?: Alguns cabeçalhos podem causar problemas: CSP pode bloquear recursos legítimos se muito restritivo, HSTS previne acesso HTTP inteiramente (garanta que HTTPS funcione primeiro), X-Frame-Options bloqueia incorporação. Teste em staging primeiro e use modo report-only do CSP para identificar problemas antes da aplicação.
Como eu add these headers to my server?: No Nginx: diretiva add_header no bloco server. No Apache: Header set no .htaccess ou httpd.conf. No Express: use o middleware helmet (npm install helmet). No Next.js: configure headers no next.config.js. No Cloudflare: use Transform Rules ou Workers.
Devo use X-XSS-Protection?: Defina como '0' para desabilitar. O auditor XSS do navegador foi removido do Chrome (v78) e Edge, e tinha falhas de segurança que podiam ser exploradas. Content-Security-Policy é a defesa adequada contra XSS. Não dependa do X-XSS-Protection.
Como usar esta ferramenta no Claude/Cursor?: Você pode usar esta ferramenta via MCP. Adicione o servidor MCP do Toolypet à configuração do seu agente AI com 'npx -y @toolypet/mcp-server@latest'. Depois peça ao seu AI para usar mcp__toolypet__security_header_checker com seus parâmetros.
O que é MCP e por que o Toolypet o suporta?: MCP (Model Context Protocol) é um padrão aberto que permite que agentes AI como Claude e Cursor usem ferramentas externas. O Toolypet suporta MCP para que você possa usar todas as mais de 65 ferramentas tanto no navegador quanto através de agentes AI, integrando cálculos e operações perfeitamente ao seu fluxo de trabalho com AI.

Ferramentas relacionadas

Csp Builder

Csp Evaluator

Cors Header Generator

Sri Hash Generator

Urldev

Meta Generatorseo