Visão Geral dos Checkers
HSTS Header Presence
Verifica se o seu site tem a "trava de segurança" (HTTP Strict Transport Security - HSTS) ativada. Basicamente, confere se o servidor está gritando para o navegador: "Aqui só entra via HTTPS, não aceite conexões inseguras!".
HSTS Secure Max-Age Value
Confere se a "trava de segurança" (HTTP Strict Transport Security - HSTS) tem um prazo de validade longo o suficiente para ser levado a sério.
HSTS Preload Property Presence
Verifica se o seu site pede para entrar em um acordo de confiança permanente com os navegadores. Após essa solicitação ser aceita, o endereço do seu site passa a fazer parte de uma “lista VIP” mantida pelos próprios navegadores. A partir daí, novas versões dos navegadores já sabem que o seu site só pode ser acessado via HTTPS, mesmo no primeiro acesso.
HSTS IncludeSubDomains Property Presence
Verifica se a “trava de segurança” (HTTP Strict Transport Security - HSTS) vale para a "família toda" (subdomínios) ou só para o site principal.
CSP Header Presence
Verifica se você criou a "Lista de Convidados" (Content Security Policy - CSP) do seu site.
CSP Default-Src Value
Confere se a regra "Mãe" do Content Security Policy (CSP) está definida. O default-src é o chefe: se uma regra específica (como imagens ou scripts) não for definida, é ele quem decide quem entra e quem sai.
CSP Object-Src Value
Verifica se o “segurança da balada” (Content Security Policy - CSP) está impedindo a entrada de tecnologias jurássicas e perigosas (Flash, Java Applets).
CSP Base-Uri Value
Garante que o “segurança da balada” (Content Security Policy - CSP) não deixará ninguém mudar o endereço base dos seus links (a tag <base>).
CSP Form-Action Value
Define para onde os formulários do seu site (login, contato, newsletter) podem enviar dados quando o usuário clica em "Enviar".
CSP Frame-Ancestors Value
A regra do "Quem pode me colocar numa moldura?". Define quais sites podem exibir o seu site dentro de um <iframe>.
CSP Upgrade-Insecure-Requests Value
Esse é o “corretor automático” de segurança, que impede completamente o uso do protocolo HTTP (que é inseguro por não ter criptografia), forçando todas as requisições a serem realizadas via HTTPS (que é seguro e tem criptografia).
CSP Script-Src Value
Controla quem pode executar Scripts (JavaScript) no navegador do usuário. É a principal defesa contra XSS (injeção de código malicioso).
X-Content-Type-Options Value
Essa diretiva instrui o navegador a não tentar “adivinhar” o tipo de um arquivo, devendo respeitar exclusivamente o tipo informado pelo servidor. Se um arquivo parecer um script, isso não é suficiente. Ele só será tratado como script se o servidor declarar explicitamente. Em outras palavras, não basta parecer, tem que provar. O navegador passa a operar de forma altamente desconfiada.
X-Frame-Options Value
A versão clássica da proteção contra Clickjacking, mantida para garantir compatibilidade com navegadores mais antigos.
CORS Access-Control-Allow-Origin Value
O porteiro que verifica o crachá de quem está batendo na porta da sua API.
CORS Access-Control-Allow-Methods Values
Define quais ações (verbos) os visitantes autorizados podem realizar na sua API.
CSP Style-Src Value
Define quem tem permissão para "vestir" o site (arquivos CSS).
CSP Media-Src Value
Controla a reprodução de áudio e vídeo (tags <audio> e <video>).
CSP Frame-Src Value
A regra do "O que eu posso assistir na minha TV?". Define quais sites você pode carregar dentro de iframes no seu site.
CSP Font-Src Value
Controla de onde as fontes de texto (tipografia) podem ser baixadas.
CSP Connect-Src Value
Define para onde o seu site pode "telefonar" (fazer requisições de dados em segundo plano) via Scripts (AJAX, Fetch, WebSockets).
Os Checkers são os “olhos atentos” do CarameloScan. Cada um deles é responsável por verificar um ponto específico de segurança da sua aplicação, como se fossem auditores especializados, cada um olhando para um detalhe diferente.
Abaixo você encontra a lista completa dos 22 checkers ativos. Cada card representa uma dessas verificações e mostra a versão mais recente do checker. Ao clicar, você pode ver o histórico de mudanças, exemplos práticos do que é analisado e quais boas práticas de segurança são esperadas naquele ponto.