Toolypet
Ferramentas de Segurança/Cabeçalhos de Segurança

Cabeçalhos de Segurança

Gere cabeçalhos de segurança HTTP para seu servidor web

Predefinições

Cabeçalhos de Segurança

Forces HTTPS connections for secure communication

Prevents clickjacking attacks by controlling iframe embedding

Prevents MIME type sniffing attacks

Legacy XSS filter (deprecated, use CSP instead)

Controls how much referrer information is sent

Controls browser features and APIs

Prevents loading cross-origin resources without permission

Isolates browsing context from cross-origin documents

Protects resources from being loaded by other origins

Saída Gerada

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

5 cabeçalhos habilitados

Nota de Implementação

Adicione esses cabeçalhos à configuração do seu servidor web. Para Nginx, adicione ao bloco server. Para Apache, adicione ao .htaccess ou httpd.conf. Teste completamente antes de implantar em produção.

Guia de Cabeçalhos de Segurança

Aprenda a proteger sua aplicação web com cabeçalhos HTTP de segurança

O que são Cabeçalhos de Segurança?

Cabeçalhos HTTP de segurança são diretivas enviadas por servidores web aos navegadores que ajudam a proteger contra vulnerabilidades web comuns. Eles controlam como os navegadores lidam com o conteúdo do seu site, prevenindo ataques como XSS, clickjacking e injeção de dados.

Como Usar

  1. Escolha uma predefinição (Básico, Recomendado ou Rigoroso) com base em suas necessidades de segurança
  2. Ative/desative cabeçalhos individuais e personalize seus valores
  3. Selecione seu formato de saída (Raw, Nginx ou Apache)
  4. Copie a configuração gerada e adicione ao seu servidor web

Melhores Práticas

Perguntas Frequentes

Quais cabeçalhos são mais importantes?

Os cabeçalhos essenciais são: Strict-Transport-Security (HSTS) para forçar HTTPS, X-Content-Type-Options para prevenir MIME sniffing, e X-Frame-Options ou CSP frame-ancestors para prevenir clickjacking. Esses três fornecem proteção significativa contra ataques comuns com problemas mínimos de compatibilidade.

Esses cabeçalhos vão quebrar meu site?

A maioria dos cabeçalhos como HSTS, X-Content-Type-Options e Referrer-Policy são seguros e não quebrarão a funcionalidade. No entanto, configurações rigorosas de COOP/COEP podem afetar recursos cross-origin. Sempre teste primeiro em um ambiente de staging, especialmente se seu site usa scripts de terceiros, iframes ou APIs cross-origin.

Qual é a diferença entre X-Frame-Options e CSP frame-ancestors?

Ambos previnem clickjacking, mas CSP frame-ancestors é mais flexível e moderno. X-Frame-Options suporta apenas DENY ou SAMEORIGIN, enquanto frame-ancestors permite domínios específicos. CSP frame-ancestors tem precedência quando ambos estão configurados. Use frame-ancestors se precisar permitir que sites específicos incorporem seu conteúdo.

Devo usar HSTS preload?

HSTS preload adiciona seu domínio à lista embutida de somente HTTPS dos navegadores. Isso fornece proteção máxima, mas é difícil de reverter. Antes de habilitar preload: certifique-se de que todos os subdomínios suportam HTTPS, comprometa-se permanentemente com HTTPS e comece com um max-age curto. Só adicione a diretiva preload quando tiver certeza.

O que são os cabeçalhos COOP, COEP e CORP?

São cabeçalhos de isolamento para segurança avançada. COOP (Cross-Origin-Opener-Policy) isola sua janela de popups cross-origin. COEP (Cross-Origin-Embedder-Policy) garante que todos os recursos sejam explicitamente compartilhados. CORP (Cross-Origin-Resource-Policy) controla quem pode carregar seus recursos. Juntos, habilitam recursos poderosos como SharedArrayBuffer, mas requerem que todos os recursos optem por participar.

Ferramentas Relacionadas

Ver Todas as Ferramentas de Segurança

CSP Builder

Build Content-Security-Policy headers

Password Generator

Generate secure passwords

SHA Hash Generator

Generate SHA hashes