Navegador headless
O que é Navegador headless?
Navegador headlessNavegador web executado sem interface grafica e controlado por codigo, usado em testes, scraping e automacao de seguranca.
Um navegador headless e um motor de navegador real (Chromium, Firefox, WebKit) que executa JavaScript, renderiza paginas e gere cookies como um navegador de desktop, mas sem janela visivel. E controlado por APIs como Chrome DevTools Protocol, WebDriver BiDi e bibliotecas como Puppeteer e Playwright. Navegadores headless sustentam suites de testes end-to-end, servicos de captura, geracao de PDF e tarefas de seguranca como o DAST. Sao tambem abusados por atacantes para credential stuffing, scraping de conteudo protegido e evasao de detecao de bots, por isso as defesas anti-automacao inspecionam impressoes digitais do navegador, navigator.webdriver e sinais comportamentais.
● Exemplos
- 01
Executar o Chromium com --headless=new para capturar o DOM renderizado durante um scan DAST.
- 02
Um bot de credential stuffing usando Firefox headless para contornar o desafio JavaScript do login.
● Perguntas frequentes
O que é Navegador headless?
Navegador web executado sem interface grafica e controlado por codigo, usado em testes, scraping e automacao de seguranca. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Navegador headless?
Navegador web executado sem interface grafica e controlado por codigo, usado em testes, scraping e automacao de seguranca.
Como funciona Navegador headless?
Um navegador headless e um motor de navegador real (Chromium, Firefox, WebKit) que executa JavaScript, renderiza paginas e gere cookies como um navegador de desktop, mas sem janela visivel. E controlado por APIs como Chrome DevTools Protocol, WebDriver BiDi e bibliotecas como Puppeteer e Playwright. Navegadores headless sustentam suites de testes end-to-end, servicos de captura, geracao de PDF e tarefas de seguranca como o DAST. Sao tambem abusados por atacantes para credential stuffing, scraping de conteudo protegido e evasao de detecao de bots, por isso as defesas anti-automacao inspecionam impressoes digitais do navegador, navigator.webdriver e sinais comportamentais.
Como se defender contra Navegador headless?
As defesas contra Navegador headless costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Navegador headless?
Nomes alternativos comuns: Chrome headless.
● Termos relacionados
- appsec№ 880
Seguranca do Puppeteer
Consideracoes de seguranca para o Puppeteer, biblioteca Node.js da Google que pilota Chrome e Chromium pelo DevTools Protocol para automacao e testes.
- appsec№ 836
Seguranca do Playwright
Consideracoes de seguranca para o Playwright, framework de automacao multi-navegador da Microsoft que pilota Chromium, Firefox e WebKit com contextos isolados.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- appsec№ 1195
Spoofing de User-Agent
Falsificacao do cabecalho User-Agent ou dos Client Hints associados para que um pedido pareca vir de um navegador, dispositivo ou sistema operativo diferente do real.
● Veja também
- № 942robots.txt