Logo da CarameloSec - Plataforma de análise de segurança automatizada

Autorização

O scan da CarameloSec é como um cãozinho muito educado: ele jamais vai farejar o seu quintal sem a sua permissão explícita. Para autorizar a entrada dele, você precisa colocar o nosso Token de Autorização na porta de entrada do seu site (ou API).

O que é o Token de Autorização?

O Token de Autorização é um identificador público de propriedade. Ele não é segredo. A única função dele é garantir que não estamos escaneando o site de um estranho sem permissão. Ao utilizá-lo, você diz: Sim, este site é meu e eu permito a análise.

Como autorizar seu site?

O processo de autorização é simples e você pode escolher entre três métodos diferentes, dependendo de como o seu site foi construído.

Passo 1

Pegando o seu Token

Antes de escolher o método de verificação, precisamos ter acesso ao seu Token de Autorização exclusivo:

  1. Faça login na sua conta da CarameloSec.
  2. No menu lateral, clique em Meu Token.
  3. Você verá um código longo e aleatório. Clique no botão Copiar.

Com o token em mãos, escolha apenas uma das três opções abaixo para validar a propriedade do seu site.

Passo 2

Escolha seu método de autorização

Escolha apenas uma das opções abaixo, de acordo com a estrutura do seu site.

Opção A: Autorização por Tag Meta (HTML)

Ideal para websites.

Nesta opção, vamos inserir o Token copiado no código-fonte do seu site. Quando o scan bater na porta (acessar https://www.seusite.com.br/), ele lerá essa tag e saberá que é bem-vindo.

  1. Abra o arquivo responsável pela sua página inicial (geralmente index.html, index.php ou default.html).
  2. Procure pelo bloco de configurações do site, que começa com <head> e termina com </head>.
  3. Crie uma linha vazia logo antes do fechamento </head> e cole o trecho abaixo:
<meta name="caramelosec-token" content="COLE-SEU-TOKEN-AQUI" />

Atenção: Substitua o texto COLE-SEU-TOKEN-AQUI pelo seu token real. Mantenha as aspas.

Salve o arquivo e envie para a sua hospedagem. Com o arquivo online, a permissão será identificada automaticamente.

Usando IA

Se você utiliza ferramentas que criam o site para você (Lovable, Bolt, v0, etc.), utilize o prompt abaixo. Lembre de substituir COLE-SEU-TOKEN-AQUI pelo seu token real:

PROMPT

Gostaria de adicionar uma validação de propriedade no meu site. Por favor, edite o arquivo principal ou de layout (index.html, root layout, app.vue ou equivalente) e adicione a seguinte tag de metadado dentro da seção <head>, logo antes do seu fechamento </head>: <meta name="caramelosec-token" content="COLE-SEU-TOKEN-AQUI" />. Certifique-se de que essa tag esteja presente no código-fonte final da página inicial.

Opção B: Autorização por URI (Endpoint JSON)

Ideal para APIs.

Nesta opção, você deixa um "bilhete" em um endereço específico. O scan da CarameloSec sempre vai procurar por uma rota chamada /caramelosectoken logo após o endereço principal do seu site.

  1. No seu projeto, crie uma rota que responda na URL exata https://www.seusite.com.br/caramelosectoken.
  2. Essa página não deve ter visual ou HTML. Configure-a para retornar apenas o seguinte conteúdo em formato JSON:
{
  "caramelosec-token": "COLE-SEU-TOKEN-AQUI"
}

Atenção: Substitua o texto COLE-SEU-TOKEN-AQUI pelo seu token real. Mantenha as aspas.

Salve as alterações e envie para a sua hospedagem. Com a rota online, a permissão será identificada automaticamente.

Usando IA

Se você utiliza ferramentas que criam o site para você (Lovable, Bolt, n8n, etc.), utilize o prompt abaixo. Lembre de substituir COLE-SEU-TOKEN-AQUI pelo seu token real:

PROMPT

Preciso adicionar uma rota de validação no meu projeto para provar a propriedade do domínio. Crie um endpoint ou arquivo de rota pública no caminho exato /caramelosectoken (na raiz do site). Quando acessada via método GET, essa rota deve retornar um status 200 e um objeto JSON com a seguinte estrutura: {"caramelosec-token": "COLE-SEU-TOKEN-AQUI"}. Por favor, escreva o código necessário para o meu framework atual.

Opção C: Autorização por Registro DNS (TXT)

Ideal para quem não quer mexer no código-fonte.

Você pode avisar ao "catálogo de endereços" da internet (DNS) que a CarameloSec tem permissão para entrar adicionando um pequeno registro de texto onde você comprou seu domínio (Registro.br, Cloudflare, GoDaddy, etc.).

  1. Acesse a plataforma onde você gerencia o seu domínio.
  2. Procure pela seção de Gerenciamento de DNS ou Zonas de DNS.
  3. Adicione um novo registro com as seguintes configurações:
  • Tipo (Type): TXT (Texto)
  • Nome / Host: @ (isso significa a raiz do domínio; em alguns provedores, basta deixar em branco ou colocar o próprio nome do seu domínio)
  • Valor / Conteúdo: caramelosec-token=COLE-SEU-TOKEN-AQUI

Salve o novo registro.

Atenção: Substitua o texto COLE-SEU-TOKEN-AQUI pelo seu token real. Não use aspas.

Atenção à propagação: alterações de DNS podem levar de alguns minutos até algumas horas para se espalharem pela internet. Se a verificação falhar na primeira tentativa, aguarde um pouco e tente novamente.

Usando IA

Se não souber como adicionar esse registro no seu provedor específico, utilize o prompt abaixo. Lembre de substituir COLE-SEU-TOKEN-AQUI pelo seu token real e ESCREVA O NOME DO SEU PROVEDOR AQUI pelo nome do seu provedor:

PROMPT

Eu preciso adicionar um registro DNS do tipo TXT no meu domínio para verificar a propriedade dele. O meu provedor de domínio é o [ESCREVA O NOME DO SEU PROVEDOR AQUI, ex: Registro.br, Cloudflare]. O valor do registro TXT que preciso adicionar na raiz do meu domínio é: caramelosec-token=COLE-SEU-TOKEN-AQUI. Pode me dar o passo a passo exato de onde devo clicar no painel do meu provedor para adicionar isso?