Esta ferramenta audita a conformidade de segurança dos cabeçalhos de resposta HTTP analisando os cabeçalhos brutos que você cola — nunca faz uma requisição de rede, então funciona para sites internos/atrás-de-auth/CORS-restritos, artefatos de CI ou exemplos de documentação.
Como difere do HTTP Headers Analyzer: aquela ferramenta busca uma URL ao vivo e só verifica a presença do cabeçalho (booleano). Esta faz verificações profundas em nível de valor num conjunto mais completo.
O que verifica (12 cabeçalhos, nível de valor):
- Crítico (ausente ou errado = alto risco): HSTS (max-age ≥ 31536000, includeSubDomains, preload), Content-Security-Policy (sem unsafe-inline/unsafe-eval/curinga, com default-src ou script-src), X-Content-Type-Options (deve ser nosniff).
- Aviso (recomendado): X-Frame-Options (DENY/SAMEORIGIN; nota que CSP frame-ancestors o substitui), Referrer-Policy (não unsafe-url/no-referrer-when-downgrade), Permissions-Policy.
- Info (endurecimento de isolamento extra): Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy, X-Permitted-Cross-Domain-Policies, Clear-Site-Data, Cache-Control.
Formato de entrada: cabeçalhos de resposta HTTP brutos — um Nome: Valor por linha, como produzidos por curl -I, aba Network do DevTools do navegador ou dumps HTTP. Linhas de status (HTTP/1.1 200 OK) e linhas em branco são ignoradas automaticamente.
Classificação (dedução desde 100): −20 por crítico, −8 por aviso. Nota de A+ a F. Cada constatação mostra o valor atual, o que está errado e um valor de cabeçalho recomendado pronto para copiar.
Esta ferramenta inspeciona apenas cabeçalhos de segurança — não cabeçalhos de divulgação de informação (Server/X-Powered-By) nem atributos de cookies. Use-a para endurecer a postura de cabeçalhos de um site antes do deploy.