4 HEADERS que vão ajudar na segurança da sua aplicação web
Estes cabeçalhos ajudam a proteger o seu sítio contra uma série de ameaças, como XSS, clickjacking, ataques de downgrade e outras vulnerabilidades relacionadas com a segurança da Web. Vou listar alguns aqui, caso queira ter acesso ao conteudo completo acessa a fonte do post.
1. Strict-Transport-Security (HSTS)
- Descrição: Força o browser a utilizar ligações HTTPS em vez de HTTP, prevenindo ataques de downgrade de protocolo (quando um atacante força a comunicação a ser feita via HTTP).
Strict-Transport-Security: max-age=31536000; includeSubDomains
max-age=31536000
: Define a duração (em segundos) durante a qual o browser se deve lembrar de utilizar HTTPS.includeSubDomains
: Aplica o HSTS a todos os subdomínios também.
2. Content-Security-Policy (CSP)
- Descrição: Limita os recursos que podem ser carregados na página (tais como scripts, estilos, imagens), protegendo contra ataques de XSS (Cross-Site Scripting).
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-scripts.com
default-src 'self'
: Restringe o carregamento de recursos apenas do mesmo domínio.script-src 'self' https://trusted-scripts.com
: Permite que os scripts sejam carregados apenas a partir do próprio site e de fontes confiáveis.
3. X-Frame-Options
- Descrição: Impede que sua página seja carregada dentro de um iframe em outros sites, protegendo contra ataques de clickjacking.
X-Frame-Options: SAMEORIGIN
SAMEORIGIN
: Permite que a página seja incorporada apenas se for do mesmo domínio.Em alternativa
:DENY
para bloquear completamente a utilização de iframes.
4. X-XSS-Protection
- Descrição: Ativa o filtro de proteção XSS no browser.
X-XSS-Protection: 1; mode=block
1
: Ativa o filtro.mode=block
: Impede a renderização da página se for detectado um ataque XSS.
Pude usar alguns destes em trabalhos meus e notei logo uma grande em termos de atividades suspeitas. Se você também ja usou deixe-nos saber nos comentários. Obrigado
Uma literatura ótima para quem quer aprofundar nesses headers: Open Worldwide Application Security Project (OWASP).
Aqui você encontra uma explicação bem detalhada e diferentes configurações para diferentes contextos de utilização desses headers.