Back

Analisador de Headers HTTP

Headers HTTP carregam metadados sobre requisicoes e respostas. Esta ferramenta analisa mensagens HTTP completas incluindo a linha de requisicao/status, headers e conteudo do body. Analisa headers de seguranca (HSTS, CSP), autenticacao (Basic, Bearer), cookies, configuracao CORS e diretivas de cache. O conteudo do body e automaticamente formatado e destacado sintaticamente com base no Content-Type (JSON, HTML, XML).

Especificacoes

Casos de Uso Comuns

  • Depurar requisicoes de API copiadas da aba Network do DevTools do navegador
  • Analisar saida de curl -i ou curl -v com headers e body
  • Auditar headers de seguranca para conformidade (recomendacoes OWASP)
  • Solucionar problemas de preflight CORS e cross-origin
  • Inspecionar headers de autenticacao e configuracao de cookies
  • Verificar comportamento de cache para CDN e cache do navegador

Funcionalidades

  • Analisar requisicoes HTTP completas (GET /path HTTP/1.1)
  • Analisar respostas HTTP com codigos de status e frases de razao
  • Formatar e destacar sintaticamente conteudo do body (JSON, HTML, XML, CSS)
  • Decodificar headers Authorization (credenciais Basic auth, Bearer tokens)
  • Analisar headers de seguranca (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
  • Analisar atributos Set-Cookie (Secure, HttpOnly, SameSite, expiracao)
  • Extracao e listagem de cookies dos headers
  • Exibir headers CORS (Access-Control-Allow-Origin, etc.)
  • Explicar diretivas Cache-Control (max-age, no-cache, private)

Exemplos

Resposta de API com Body JSON

Experimente →

Uma resposta HTTP completa com headers e body JSON, como voce copiaria da saida de curl -i.

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Cache-Control: max-age=3600, public
X-Frame-Options: DENY
Strict-Transport-Security: max-age=31536000; includeSubDomains

{
  "status": "success",
  "data": {
    "id": 12345,
    "name": "Example User"
  }
}

Requisicao HTTP com Autenticacao

Experimente →

Uma requisicao com autenticacao Bearer token e cookies.

GET /api/users HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Accept: application/json
Cookie: session=abc123; theme=dark

Dicas

  • Use "curl -i URL" para incluir headers de resposta na saida.
  • No DevTools do navegador, clique com botao direito em uma requisicao e "Copy as cURL" para obter a requisicao completa.
  • HSTS (Strict-Transport-Security) diz aos navegadores para usar apenas HTTPS para o dominio.
  • CSP (Content-Security-Policy) controla quais recursos a pagina pode carregar.
  • O atributo de cookie SameSite ajuda a prevenir ataques CSRF.

Entendendo Analisador de Headers HTTP

Headers HTTP sao pares chave-valor enviados entre cliente e servidor como parte de cada requisicao e resposta HTTP. Eles carregam metadados sobre a mensagem: tipo de conteudo, diretivas de cache, credenciais de autenticacao e politicas de seguranca. Headers aparecem apos a linha de requisicao ou status e antes do body opcional, separados do body por uma linha em branco.

Headers de requisicao fornecem contexto sobre o cliente e a resposta desejada. Host identifica o servidor alvo. Accept e Content-Type negociam o formato de midia. Authorization carrega credenciais (Basic, Bearer, chaves de API). Cookie envia dados de sessao armazenados. User-Agent identifica o software do cliente.

Headers de resposta controlam como o cliente trata o conteudo. Cache-Control e ETag governam o comportamento de cache. Set-Cookie estabelece estado do lado do cliente. Content-Security-Policy restringe carregamento de recursos para mitigar XSS. Strict-Transport-Security forca HTTPS. Headers CORS (Access-Control-Allow-Origin e relacionados) controlam compartilhamento de recursos cross-origin, um dos aspectos mais comumente mal configurados de APIs web.

Entender headers e essencial para depurar aplicacoes web. Quando uma API retorna resultados inesperados, headers frequentemente revelam a causa: um Content-Type ausente, um token de autenticacao expirado, uma diretiva de cache servindo dados obsoletos ou uma politica CORS bloqueando a requisicao.

A diretiva Cache-Control e um dos headers mais mal compreendidos. A diretiva no-cache nao significa "nao faca cache" — significa que o cache deve revalidar com o servidor de origem antes de usar uma resposta armazenada. A resposta ainda pode ser armazenada em cache. A diretiva no-store e o que realmente impede o cache completamente, e deve ser usada para dados sensiveis. Para conteudo que muda frequentemente e se beneficia de requisicoes condicionais, no-cache combinado com ETag ou Last-Modified e a estrategia apropriada.

Erros CORS ocorrem quando uma requisicao do navegador para uma origem diferente esta sem o header de resposta Access-Control-Allow-Origin. O servidor deve incluir este header com a origem solicitante ou * para APIs publicas. Quando credenciais (cookies ou headers Authorization) estao envolvidas, o curinga nao e permitido — o header deve especificar a origem exata. Requisicoes preflight OPTIONS adicionalmente requerem Access-Control-Allow-Methods e Access-Control-Allow-Headers. Autenticacao Bearer token usa o formato Authorization: Bearer <token>, onde o token e tipicamente um JWT ou token de acesso opaco de um fluxo OAuth 2.0. Diferente de cookies, Bearer tokens nao sao enviados automaticamente — o cliente deve anexar explicitamente o header a cada requisicao.

Todo site deve definir um conjunto minimo de headers de seguranca. Strict-Transport-Security (HSTS) garante que HTTPS seja sempre usado. Content-Security-Policy mitiga XSS restringindo carregamento de recursos. X-Content-Type-Options: nosniff previne MIME type sniffing. X-Frame-Options protege contra clickjacking, e Referrer-Policy controla quais informacoes sao enviadas no header Referer. APIs devem adicionalmente configurar headers CORS apropriados para controlar quais origens podem fazer requisicoes.

← Voltar para todas as ferramentas