Analisador de HTTP Header/ Decodificar cabecalhos
Cole os cabecalhos de resposta HTTP para decodificar e explicar cada campo agrupado por categoria.
Esta ferramenta resolveu o seu problema?
Perguntas frequentes
Como obter os cabecalhos de resposta HTTP de um site?
No Chrome/Firefox, abra as ferramentas de desenvolvedor (F12) → aba Network → clique em qualquer requisicao → aba Headers → copie a secao Response Headers. Alternativamente, use curl: curl -I https://example.com para imprimir apenas os cabecalhos.
O que significa Cache-Control: max-age=3600?
Instrui navegadores e caches intermediarios a armazenar a resposta por ate 3600 segundos (1 hora). Apos isso, uma nova requisicao deve ser feita. Combinado com ETag ou Last-Modified, o cache pode verificar com o servidor se a versao armazenada ainda e valida.
O que e HSTS e por que devo ativa-lo?
HSTS (HTTP Strict Transport Security) atraves do cabecalho Strict-Transport-Security instrui os navegadores a se conectarem ao seu site apenas via HTTPS por um periodo especificado. Isso previne ataques de SSL stripping. Uma vez que o navegador recebe o cabecalho, ele recusara conexoes HTTP ao seu dominio.
Por que minha API retorna erros CORS?
Erros CORS ocorrem quando um navegador bloqueia uma requisicao cross-origin porque a resposta do servidor nao inclui o cabecalho Access-Control-Allow-Origin apropriado. O servidor deve permitir explicitamente a origem da requisicao, ou usar * para permitir todas as origens.
Qual e a diferenca entre ETag e Last-Modified?
Ambos sao mecanismos de validacao de cache. ETag e um token opaco (geralmente um hash do conteudo) — mais preciso. Last-Modified e a data da ultima modificacao — mais simples, mas menos preciso. Os navegadores os usam para enviar requisicoes condicionais (If-None-Match / If-Modified-Since) e recebem uma resposta 304 Not Modified se o conteudo nao mudou.
O que faz X-Content-Type-Options: nosniff?
Impede que os navegadores facam MIME-sniffing — adivinhar um Content-Type diferente do declarado pelo servidor. Sem este cabecalho, um navegador poderia executar um arquivo JavaScript servido como text/plain. Sempre defina este cabecalho para prevenir ataques de injecao de conteudo.