4 HEADERS que vão ajudar na segurança da sua aplicação web

Estes cabeçalhos ajudam a proteger o seu sítio contra uma série de ameaças, como XSS, clickjacking, ataques de downgrade e outras vulnerabilidades relacionadas com a segurança da Web. Vou listar alguns aqui, caso queira ter acesso ao conteudo completo acessa a fonte do post.

1. Strict-Transport-Security (HSTS)

  • Descrição: Força o browser a utilizar ligações HTTPS em vez de HTTP, prevenindo ataques de downgrade de protocolo (quando um atacante força a comunicação a ser feita via HTTP).
Strict-Transport-Security: max-age=31536000; includeSubDomains
  • max-age=31536000: Define a duração (em segundos) durante a qual o browser se deve lembrar de utilizar HTTPS.
  • includeSubDomains: Aplica o HSTS a todos os subdomínios também.

2. Content-Security-Policy (CSP)

  • Descrição: Limita os recursos que podem ser carregados na página (tais como scripts, estilos, imagens), protegendo contra ataques de XSS (Cross-Site Scripting).
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-scripts.com
  • default-src 'self': Restringe o carregamento de recursos apenas do mesmo domínio.
  • script-src 'self' https://trusted-scripts.com: Permite que os scripts sejam carregados apenas a partir do próprio site e de fontes confiáveis.

3. X-Frame-Options

  • Descrição: Impede que sua página seja carregada dentro de um iframe em outros sites, protegendo contra ataques de clickjacking.
X-Frame-Options: SAMEORIGIN
  • SAMEORIGIN: Permite que a página seja incorporada apenas se for do mesmo domínio.
  • Em alternativa: DENY para bloquear completamente a utilização de iframes.

4. X-XSS-Protection

  • Descrição: Ativa o filtro de proteção XSS no browser.
X-XSS-Protection: 1; mode=block
  • 1: Ativa o filtro.
  • mode=block: Impede a renderização da página se for detectado um ataque XSS.

Pude usar alguns destes em trabalhos meus e notei logo uma grande em termos de atividades suspeitas. Se você também ja usou deixe-nos saber nos comentários. Obrigado

Uma literatura ótima para quem quer aprofundar nesses headers: Open Worldwide Application Security Project (OWASP).

Aqui você encontra uma explicação bem detalhada e diferentes configurações para diferentes contextos de utilização desses headers.