Visualizador de Cabeçalhos HTTP

Inspetor de cabeçalhos HTTP de resposta — status code, content-type, CSP, HSTS, cache, cookies, CORS. Mostra também seus próprios cabeçalhos de requisição.

Tem feedback? Reporte bugs, sugira recursos ou compartilhe suas ideias — lemos todos

Visualizador de Cabeçalhos HTTP - Verifique e Analise Cabeçalhos HTTP Online

Cabeçalhos HTTP são os metadados que viajam com cada requisição e resposta web — a parte que você nunca vê na barra de endereço do navegador mas que controla como o cache funciona, quais scripts podem carregar, se seus cookies sobrevivem a recarregamentos de página, se o site pode ser embarcado em um iframe, qual compressão é usada, e como o navegador interpreta o corpo da resposta. Esta ferramenta expõe ambos os lados dessa conversa: em um painel você vê os cabeçalhos de requisição do SEU próprio navegador (User-Agent, Accept, Accept-Encoding, Cookie, Sec-Fetch-*, Sec-CH-UA — os novos Client Hints que gradualmente substituem o User-Agent), e no outro painel você pode buscar qualquer URL HTTP/HTTPS e inspecionar seus cabeçalhos de resposta (status code com a frase de razão padrão, Content-Type com charset, regras Cache-Control, Set-Cookie com todas as flags de segurança, política Strict-Transport-Security, diretivas Content-Security-Policy, X-Frame-Options para proteção contra clickjacking, Access-Control-Allow-Origin para configuração CORS, fingerprint do software servidor). Útil para depurar integrações de API, validar fortalecimento de segurança (verifique que seu site envia HSTS e um CSP estrito), engenharia reversa de comportamento de cache, ou aprender como a camada de protocolo web realmente se comporta. Alvos bloqueados por CORS são comuns — a mensagem dirá exatamente quando isto acontece, e nesses casos a aba Network do DevTools do navegador permanece seu fallback.

O que são Cabeçalhos HTTP?

Cabeçalhos HTTP são metadados enviados entre um cliente (navegador) e servidor em requisições e respostas HTTP. Eles contêm informações importantes sobre:

- Detalhes da requisição (tipo de navegador, formatos aceitos, autenticação)
- Detalhes da resposta (tipo de conteúdo, regras de cache, cookies)
- Políticas de segurança (CORS, CSP, X-Frame-Options)
- Codificação e compressão de conteúdo
- Gerenciamento de conexão

Cabeçalhos são essenciais para comunicação web adequada e afetam como navegadores lidam com conteúdo.

Como usar este Visualizador de Cabeçalhos HTTP?

Usar a ferramenta é direto:

1. Visualize seus cabeçalhos de requisição atuais na seção 'Seus Cabeçalhos de Requisição'
2. Para verificar cabeçalhos de uma URL, digite-a no campo URL
3. Clique em 'Verificar Cabeçalhos' para buscar os cabeçalhos de resposta
4. Revise o código de status, cabeçalhos e valores

Nota: Devido a restrições CORS (Compartilhamento de Recursos entre Origens), alguns sites podem bloquear requisições de cabeçalhos de navegadores. Este é um comportamento de segurança normal.

O que são Cabeçalhos de Requisição?

Cabeçalhos de requisição são enviados pelo navegador ao servidor e incluem:

- User-Agent: Informações do navegador e SO
- Accept: Tipos de conteúdo que o navegador pode lidar
- Accept-Language: Idiomas preferidos
- Accept-Encoding: Métodos de compressão suportados
- Cookie: Cookies armazenados para o domínio
- Referer: URL da página anterior
- Authorization: Credenciais de autenticação

Estes cabeçalhos ajudam servidores a entender as capacidades e preferências do cliente.

O que são Cabeçalhos de Resposta?

Cabeçalhos de resposta são enviados pelo servidor e incluem:

- Status Code: Resultado da requisição (200 OK, 404 Not Found, etc.)
- Content-Type: Tipo de conteúdo sendo retornado
- Content-Length: Tamanho do corpo da resposta
- Set-Cookie: Cookies para armazenar
- Cache-Control: Instruções de cache
- Access-Control-*: Permissões CORS
- Server: Software do servidor web

Cabeçalhos de resposta informam ao navegador como lidar com o conteúdo recebido.

Visualizador de Cabeçalhos HTTP — Inspetor de cabeçalhos HTTP de resposta — status code, content-type, CSP, HSTS, cache, cookies, CORS. Mostra também seus — **Visualizador de Cabeçalhos HTTP**

O que significa erro de CORS?

CORS (Compartilhamento de Recursos entre Origens) é um mecanismo de segurança que impede navegadores de fazer requisições para domínios diferentes daquele que serve a página. Quando você vê um erro de CORS:

- O servidor de destino não permite requisições cross-origin
- Este é um comportamento de segurança intencional
- Não é um problema com esta ferramenta ou seu navegador
- Muitos sites bloqueiam CORS por segurança

Para contornar CORS:
- Use extensões de navegador que desabilitam CORS (apenas para testes)
- Teste URLs que têm CORS habilitado
- Use ferramentas do lado do servidor para testes em produção
- Verifique os cabeçalhos do site real usando DevTools do navegador (F12 → aba Network)

Quais cabeçalhos de segurança todo site moderno deve enviar?

A linha base mínima em 2026 inclui sete cabeçalhos. (1) Strict-Transport-Security (HSTS): força HTTPS pelo próximo ano — 'max-age=31536000; includeSubDomains; preload'. (2) Content-Security-Policy: whitelist de fontes de script/estilo/imagem permitidas — comece com 'default-src 'self'' e aperte a partir daí. (3) X-Content-Type-Options: 'nosniff' — previne ataques de MIME-sniffing onde o navegador tenta adivinhar se um .txt é realmente JS. (4) X-Frame-Options: 'DENY' ou 'SAMEORIGIN' — bloqueia seu site de ser enquadrado por atacantes (clickjacking). (5) Referrer-Policy: 'strict-origin-when-cross-origin' — limita quanta informação de referrer vaza para terceiros. (6) Permissions-Policy: opt-out de funcionalidades que você não usa (câmera, microfone, geolocalização, USB). (7) Cross-Origin-Opener-Policy: 'same-origin' — habilita proteção contra Spectre e APIs crossOriginIsolated. O Mozilla Observatory (observatory.mozilla.org) classifica esses para você; mire em A+.

Por que recebo IP/servidor diferente verificando daqui vs meus logs?

Porque a requisição do seu navegador passa por várias camadas antes de chegar ao servidor origem. (1) O NAT de saída do seu ISP traduz seu IP local para um público — seu servidor vê o IP público NATed, não seu endereço doméstico. (2) Edges CDN (Cloudflare, Fastly, Akamai) terminam a conexão TLS no ponto geográfico mais próximo — seu servidor vê o IP do edge CDN, não o do visitante. O IP real do visitante, se encaminhado, vive em cabeçalhos X-Forwarded-For ou CF-Connecting-IP que a CDN insere. (3) Proxies reversos (nginx, HAProxy) na frente do seu app obscurecem o cliente similarmente. (4) O cabeçalho Server na maioria dos sites modernos é intencionalmente falso ou removido — segurança por obscuridade. Para ver a cadeia real, requisite um endpoint de debug no seu próprio servidor que ecoe os cabeçalhos completos que ele recebe, depois compare com o que esta ferramenta mostra saindo do navegador.

Meus dados estão seguros?

Sim, seus dados estão completamente seguros:

- Toda verificação de cabeçalhos acontece no seu navegador
- Seus cabeçalhos de requisição são lidos do próprio navegador
- Ao verificar URLs, requisições vão diretamente do seu navegador para aquela URL
- Nenhum dado é enviado para nossos servidores
- Sem registro ou rastreamento de URLs que você verifica
- Funciona offline para visualizar seus próprios cabeçalhos

A ferramenta é completamente do lado do cliente, garantindo sua privacidade.