Preskoči na sadržaj
(+381) 60 3535 720
Moj nalog
BeoHosting
BeoHosting
Moj nalogKontakt
(+381) 60 3535 720
 

Ferramenta de diagnóstico gratuita

HTTP Header Checker — Consulta de Cabeçalhos HTTP

Verifique os cabeçalhos HTTP de qualquer URL: cabeçalhos de segurança (HSTS, CSP, X-Frame), Cache-Control, Content-Type, Server, código de estado. Ideal para auditorias de segurança e desempenho.

Verificar cabeçalhosCertificados SSL
TL;DR

Como verificar os cabeçalhos HTTP de um site?

O HTTP Header Checker verifica os cabeçalhos em 3 passos: 1) Introduza um URL (com ou sem https://). 2) Ao clicar em Verificar, a ferramenta envia um pedido HEAD e analisa os cabeçalhos da resposta. 3) Os resultados são classificados: Bom (cabeçalhos de segurança presentes), Aviso (Server revela a versão, Cache no-cache), Mau (cabeçalhos críticos em falta), Info (outros). Ideal para: auditoria de segurança (CSP, HSTS, X-Frame), verificação da estratégia de cache, depuração de problemas de CORS, análise da concorrência.

  • Classificação dos cabeçalhos — Bom / Aviso / Mau / Info
  • Deteção de cabeçalhos de segurança em falta (HSTS, CSP, X-Frame)
  • Código de estado + tipo de Server (Apache/nginx/LiteSpeed)
  • Ideal para auditorias de segurança e desempenho do site

BeoHosting Team

10+ godina iskustva — Stručnjaci za web hosting i infrastrukturu

Poslednje ažurirano:

HTTP Header Checker

Unesite URL i proverite HTTP zaglavlja, security headers i status code.

Os 6 cabeçalhos HTTP mais importantes

Cache-Control

Desempenho

Define como o browser faz cache dos recursos. public, max-age=31536000 significa cache de 1 ano para ficheiros estáticos (imagens, CSS, JS com hash no nome).

Cache-Control: public, max-age=31536000

Content-Type

Básico

Define o tipo de conteúdo e o charset. text/html; charset=utf-8 para HTML, application/json para respostas de API. Sem um Content-Type correto, o browser pode interpretar mal o conteúdo.

Content-Type: text/html; charset=utf-8

X-Frame-Options

Segurança

Previne ataques de clickjacking. SAMEORIGIN permite a incorporação apenas a partir do mesmo domínio, DENY bloqueia totalmente a incorporação em <iframe>. Obrigatório para todas as páginas de admin/login.

X-Frame-Options: SAMEORIGIN

Strict-Transport-Security (HSTS)

Segurança

Força a ligação HTTPS. max-age=31536000; includeSubDomains exige HTTPS durante um ano. Sem HSTS, o browser pode recorrer a HTTP na primeira visita.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Content-Security-Policy (CSP)

Segurança

A proteção XSS mais forte. default-src 'self' permite scripts/estilos/imagens apenas do mesmo domínio. Previne ataques de injeção e o carregamento não autorizado de recursos.

Content-Security-Policy: default-src 'self'

Server

Info

Revela a versão do servidor web. „LiteSpeed“ é aceitável, mas „Apache/2.4.41 (Ubuntu)“ revela exploits específicos ao atacante. Configure ServerSignature Off.

Server: LiteSpeed

Cabeçalhos HTTP — segurança e desempenho

Os cabeçalhos HTTP são metadados que o servidor envia ao browser em cada resposta HTTP. Definem tudo, desde a estratégia de cache até às políticas de segurança. Cabeçalhos corretamente configurados protegem contra ataques XSS, clickjacking, confusão de MIME e aceleram o site em 50-80% graças à cache do browser.

Os cabeçalhos são configurados ao nível do servidor web (Apache .htaccess, configuração do nginx, LiteSpeed) ou na aplicação (função header() do PHP, middleware do Express, configuração de headers do Next.js). Os cabeçalhos de segurança mais importantes: HSTS (força HTTPS), CSP (previne XSS), X-Frame-Options (anti-clickjacking), X-Content-Type-Options (nosniff).

Os planos de alojamento da BeoHosting têm Apache + LiteSpeed com cabeçalhos predefinidos otimamente configurados (HSTS, HTTP/2, GZIP/Brotli). Se usar um proxy Cloudflare à frente do alojamento BeoHosting, aparecerão cabeçalhos adicionais (CF-Ray, CF-Cache-Status).

Ferramentas e serviços relacionados

WHOIS LookupDNS CheckerProveri brzinu sajtaSSL SertifikatiBezbednost sajtaKako ubrzati sajtSEO za početnikeShared hostingVPS hostingKontakt

Spremni da pokrenete svoj sajt?

SSL zaštita
Brzina
24/7 podrška

Pridružite se 4.000+ zadovoljnih korisnika. Besplatna migracija i 15 dana garancije povrata novca.

Izaberite paketKontaktirajte nas
15 dana garancija povrata novca
Besplatna migracija15 dana garancija24/7 podrška

Perguntas frequentes - HTTP Header Checker

Odgovori na najčešća pitanja o našim uslugama.

Os cabeçalhos de segurança são cabeçalhos HTTP que protegem um site de ataques web comuns: HSTS (força HTTPS, previne SSL stripping), CSP (previne XSS), X-Frame-Options (anti-clickjacking), X-Content-Type-Options (confusão de MIME nosniff), Referrer-Policy (controlo do cabeçalho Referer), Permissions-Policy (permissões de Câmara/Micro/Geo). Sem eles, o site fica vulnerável a ataques populares.

O mais fácil é através do ficheiro .htaccess. Adicione em public_html/.htaccess: Header set X-Frame-Options „SAMEORIGIN“, Header set X-Content-Type-Options „nosniff“, Header set Strict-Transport-Security „max-age=31536000; includeSubDomains“. Para CSP, use a nossa ferramenta Gerador de .htaccess. Os cabeçalhos são aplicados instantaneamente — sem necessidade de reiniciar.

O HSTS Preload é uma lista mantida pelo Chromium (Chrome) onde podem ser adicionados sites estritamente apenas em HTTPS (com HSTS de pelo menos 1 ano + includeSubDomains + diretiva preload). Se o seu domínio estiver na lista de preload, o Chrome e o Firefox nunca tentarão uma ligação HTTP — imediatamente HTTPS. Formulário de submissão: hstspreload.org.

No Apache, em httpd.conf ou .htaccess: ServerSignature Off + ServerTokens Prod. No LiteSpeed (BeoHosting) — Server: LiteSpeed vem por predefinição sem versão, é seguro. Para uma ocultação completa: use mod_security ou um proxy inverso (Cloudflare/nginx) à frente do backend BeoHosting que remova o cabeçalho Server na resposta.

Não. O URL que verifica passa apenas pela nossa API até ao servidor de destino para o pedido HEAD. Não armazenamos URLs numa base de dados, não registamos os endereços IP dos utilizadores e não monitorizamos a atividade. Tudo é 100% privado e funciona também com URLs internos/de staging, desde que estejam acessíveis publicamente.

Naše garancije za vaš mir

Zaštićeni ste sa svake strane

15 dana garancije

Vraćamo novac bez pitanja u prvih 15 dana.

Besplatna migracija

Mi prebacimo vaš sajt bez prekida — vi ništa ne radite.

24/7 podrška

Naši stručnjaci su tu 24/7 kroz tikete i live chat.