O que é a falsificação do User-Agent?
Falsificação do User-Agent é a prática de alterar deliberadamente a string User-Agent (UA) no cabeçalho de uma solicitação HTTP para simular um navegador, sistema operacional ou dispositivo diferente daquele que está, de fato, realizando a solicitação. Os servidores leem a string UA para identificar os clientes; portanto, alterá-la muda a percepção do servidor sobre com quem ele está se comunicando. É comum em web scraping, testes automatizados e ferramentas de privacidade.
Como funciona a falsificação do User-Agent
Uma string User-Agent é um cabeçalho em texto simples enviado com cada solicitação HTTP. Qualquer cliente HTTP pode defini-la com o valor que desejar. O envio User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)... A partir de um script em Python, por exemplo, informa ao servidor que está se comunicando com um navegador Chrome no Windows.
Os navegadores tornaram a detecção da string UA pouco confiável por padrão. MDN Web Docs (2025) observa que os navegadores costumam ocultar sua string de UA; é por isso que o MDN desaconselha totalmente o uso dela para detecção de navegadores. A alternativa moderna, as dicas de User-Agent para clientes, exige que os servidores optem explicitamente por participar por meio de um Accept-CH cabeçalho de resposta.
Falsificar a string UA muitas vezes não é suficiente, por si só, para contornar a detecção de bots. Os sistemas de detecção correlacionam a reputação do IP, a impressão digital TLS, os padrões de tempo e muitos outros sinais, além do cabeçalho UA. Uma UA falsificada enviada a partir de um IP de data center ainda pode ser sinalizada, pois o tipo de IP contradiz a identidade do navegador declarada. Combinar um UA realista com um IP residencial — proveniente de um dispositivo de consumidor real — elimina essa contradição de maneira mais confiável.
Perguntas frequentes
Raramente por si só. A maioria dos sistemas de detecção de bots considera a string UA como apenas um dos muitos sinais fracos. Uma string UA falsificada enviada a partir de um IP de data center ainda pode ser identificada por meio do comportamento do TLS, da reputação do IP e do tempo de resposta das solicitações. Abordar o sinal do IP costuma ser mais eficaz do que apenas a falsificação da string UA.
O contexto e a jurisdição determinam a resposta. A falsificação de um UA para testes de compatibilidade de navegadores ou pesquisas de acessibilidade geralmente não é motivo de controvérsia. Utilizá-la para contornar controles de acesso ou violar os termos de serviço de um site pode acarretar riscos legais ou contratuais. Sempre analise os termos do site de destino antes de executar solicitações automatizadas.
MDN Web Docs (2025) identifica as dicas de cliente User-Agent como a alternativa que preserva a privacidade. Os servidores devem enviar um Accept-CH cabeçalho de resposta para solicitar indicações específicas, proporcionando aos clientes maior controle sobre quais informações eles divulgam.