Headers
Headers
Desabilitar o Auditor XSS
XSS é a abreviação de Cross-Site Scripting, que é um ataque que consiste em enviar HTML com JavaScript mal-intencionado para um site.
É um ataque de segurança que consiste em enviar HTML com JavaScript mal-intencionado para um site. Se o site exibir esse HTML com JavaScript sem ter filtrado o código JavaScript mal-intencionado, os cookies enviados pelo site podem ser roubados e enviados para um site invasor, para que ele possa usar para forjar sessões de usuário e acessar a conta do site do usuário sem permissões.
Strict-Transport-Security
O HSTS força os navegadores a usarem o HTTPS no domínio onde ele está habilitado, em vez de usar HTTP.
Quando habilitado o valor padrão é de “max-age=31536000”.
A política do HSTS está definida para um ano (31536000 segundos). Este período especifica o tempo em que o navegador acessará o servidor por meio do HTTP
X-Frame-Options
O cabeçalho de resposta HTTP X-Frame-Options pode ser usado para indicar se o navegador deve ou não renderizar a página em um <frame>
, <iframe>
, <embed>
ou <object>
.
Esse header fornece uma proteção contra o clickjacking, conhecido como ‘furto de clique’- essa vulnerabilidade consegue roubar informações e dados relevantes do usuário.
O X-Frame-Options não permite a renderização de uma página em um frame, garantindo que o conteúdo de sua página não seja incorporado a outros sites
- SAMEORIGIN: A diretiva SAMEORIGIN permite que a página seja carregada em um frame de mesma origem que a própria página. Esta opção deve ser utilizada para que a aplicação com a proteção contra clickjacking possa ser utilizada na aplicação de menu.
- DENY: Essa diretiva desativa completamente o carregamento da página em um frame.
Se nenhuma opção for selecionada, a aplicação poderá ser utilizada em qualquer
<frame>
,<iframe>
,<embed>
ou<object>
, permitindo que a aplicação seja incorporada a outro site.
X-Content-Type-Options
O X-Content-Type-Options é usado para proteger contra vulnerabilidades de detecção de MIME. Com essa opção habilitada, evita que navegadores interpretem o conteúdo da página (sniffing) e execute o dado como código/tag. Essas vulnerabilidades podem ocorrer ao fazer o upload de um arquivo texto com um código javascript e o navegador ler o conteúdo que está no arquivo e executar, mesmo sendo apenas um texto e não parte do código.
Com essa habilitada, o cabeçalho X-Content-Type-Options do HTTP é definido, por padrão, como “não detecção”.
Referrer-Policy
no-referrer.
O cabeçalho Referer será omitido completamente. Nenhuma informação de referência será enviada junto com as requisições.
no-referrer-when-downgrade.
Este é o comportamento padrão quando nenhuma política é especificada, ou se o valor provido é inválido.
origin.
Somente envia a origem (origin) do documento como referência. Por exemplo, um documento em https://example.com/page.html irá mandar a referência https://example.com/.
origin-when-cross-origin.
Envia a origem, caminho e cadeia de consulta quando performando uma requisição same-origin, mas somente envia a origem do documento em outros casos.
same-origin.
A referência será enviada para origens do mesmo site, mas requisições entre origens não enviarão informação de referência.
strict-origin.
Envia somente a origem do documento como referência quando o nível de protocolo de segurança se mantém o mesmo (HTTPS→HTTPS), mas não o envia para um destinatário menos seguro (HTTPS→HTTP).
strict-origin-when-cross-origin.
Envia a origem, caminho e cadeia de consulta quando performando uma requisição de mesma origem, somente envia a origem quando o nível do protocolo de segurança se mantém o mesmo durante uma requisição entre origens (HTTPS→HTTPS), e envia nenhum cabeçalho para destinatários menos seguros (HTTPS→HTTP)
unsafe-url.
Envia a origem, o caminho e a cadeia de consulta quando performando qualquer requisição, independente da segurança.
Feature-Policy
O valor deste cabeçalho é uma política ou conjunto de políticas que você deseja que o navegador respeite para uma determinada origem.
A lista de permissões de origem pode assumir vários valores diferentes:
*:
O recurso é permitido em contextos de navegação de nível superior e em contextos de navegação aninhados (iframes).'self':
O recurso é permitido em contextos de navegação de nível superior e contextos de navegação aninhados da mesma origem. Não é permitido em documentos de origem cruzada em contextos de navegação aninhados.'none':
O recurso não é permitido em contextos de navegação de nível superior e não é permitido em contextos de navegação aninhados.<origin(s)>:
origens específicas para as quais habilitar a política (por exemplo https://example.com).
Exemplo 1 - Utilizando apenas uma diretiva Digamos que você queira impedir que todo o conteúdo use a API de geolocalização em seu site. Você pode fazer isso enviando uma lista de permissões restrita de ‘none’ para o geolocationrecurso:
Feature-Policy: geolocation 'none'
Exemplo 2 - Utilizando mais de uma deiretiva Funcionalidades dentro de uma política são separadas por ponto e vírgula.
Feature-Policy: unsized-media 'none'; geolocation 'self' https://example.com; camera*;
Diretivas
accelerometer
Controla se o documento atual é permitido de coletar informação sobre a aceleração do dispositivo através da interface Accelerometer.
ambient-light-sensor
Controla se o documento atual é permitido de coletar informação sobre a quantidade de luz no ambiente ao redor do dispositivo através da interface AmbientLightSensor.
autoplay
Controla se o documento atual é permitido de tocar a mídia requisitada automaticamente através da interface HTMLMediaElement. Quando esta política é desabilitada e não há ação do usuário, o Promise returnado pelo HTMLMediaElement.play() irá rejeitar com uma DOMException. O atributo autoplay em elementos <audio>
e <video>
será ignorado.
battery
Controla se o uso da API de Status de Bateria é permitido. Quando esta política está desabilitada, o Promise returnado peloNavigator.getBattery() irá rejeitar com um NotAllowedError DOMException.
camera
Controla se o documento atual é permitido de usar entradas de dispositivos de vídeo. Quando esta política está desabilitada, o Promise returnado pelo getUserMedia() irá rejeitar com um NotAllowedError DOMException.
display-capture
Controla se o documento atual é permitido ou não de usar o método getDisplayMedia() para capturar conteúdos de tela. Quando esta política está desabilitada, a Promise retornada pelo getDisplayMedia() irá rejeitar com um NotAllowedError se a permissão não for obtida para capturar os conteúdos da tela.
document-domain
Controle se o documento atual é permitido de colocar document.domain. Quando esta política está desabilitada, tentativas em colocar document.domain irão falhar e causar uma SecurityError DOMException a ser jogada.
encrypted-media
Controla se o documento atual é permitido de usar a API Extensões de Mídias Encriptadas (Encrypted Media Extensions) (EME). Quando esta política é desabilitada, a Promise returnada pelo Navigator.requestMediaKeySystemAccess() irá rejeitar com um DOMException.
execution-while-not-rendered
Controla se as tarefas devem ser executadas em enquadramentos enquanto não são renderizados (e.g. se um enquadramento é hidden ou display: none).
execution-while-out-of-viewport
Controla se as tarefas devem ser executadas em enquadramentos enquanto eles estão fora da janela de visualização visível.
fullscreen
Controla se o documento atual é permitido de usar Element.requestFullScreen(). Quando esta política está desabilitada, a Promise retornada rejeita com um TypeError DOMException.
geolocation
Controla se o documento atual é permitido de usar a interface Geolocation. Quando a política está desabilitada, chamadas para getCurrentPosition() e watchPosition() irão causar aos callbacks da funções serem invocados com um PositionError de PERMISSION_DENIED.
gyroscope
Controla se o documento atual é permitido de coletar informação sobre a orientação do dispositivo através da interface Gyroscope.
layout-animations
Controla se o documento atual é permitido de mostrar animações de layout.
legacy-image-formats
Controla se o documento atual é permitido de mostrar imagens em formatos legados.
magnetometer
Controla se o documento atual é permitido de coletar informação sobre a orientação do dispositivo através da interface Magnetometer.
microphone
Controla se o documento atual é permitido de usar entradas de dispositivos de áudio. Quando esta política está desabilitada, a Promise returnada pelo MediaDevices.getUserMedia() irá rejeitar com um NotAllowedError.
midi
Controla se o documento atual é permitido de usar a API Web MIDI. Quando esta política está desabilitada, a Promise returnada pelo Navigator.requestMIDIAccess() irá rejeitar com um DOMException.
navigation-override
Controla a disponibilidade de mecanismos que habilitam o autor da página a tomar controle sobre o comportamento da navegação espacial (spatial navigation), ou cancelar completamente.
oversized-images
Controla se o documento atual é permitido de baixar e mostrar imagens grandes.
payment
Controla se o documento atual permite o uso da API de Requisição de Pagamento (Payment Request API). Quando esta política está desabilitada, o construtor PaymentRequest() irá jogar um SecurityError DOMException.
picture-in-picture
Controla se o documento atual permite que um vídeo seja permitido tocar no modo Picture-in-Picture através da API correspondente.
publickey-credentials-get
Controla se o documento atual é permitido de usar a API de Autenticação Web para resgatar credenciais de chave pública já guardadas, i.e. através do navigator.credentials.get({publicKey: …, …}).
sync-xhr
Controla se o documento atual é permitido de fazer requisições síncronas XMLHttpRequest.
usb
Controla se o documento atual é permitido de usar a API WebUSB.
vr
Controla se o documento atual é permitido de usar a API WebVR. Quando esta política é desabilitada, o Promise returnado pelo Navigator.getVRDisplays() irá rejeitar com um DOMException. Tenha em mente que o padrão WebVR está em processo de ser substituído pelo WebXR.
wake-lock
Controla se o documento atual é permitido de usar a API Wake Lock para indicar que o dispositivo não deve entrar em modo de economia de energia.
screen-wake-lock
Controla se o documento atual é permitido de utilizar a API Screen Wake Lock para indicar se o dispositivo deve ou não escurecer a tela.
xr-spatial-tracking
Controla se o documento atual é permitido ou não de usar a API WebXR Device para intergir com a sessão WebXR.
Content-Security-Policy
Este cabeçalho informa ao navegador as origens confiáveis dos arquivos que podem ser carregados em sua página. Por exemplo, ao definir default-src 'self'
indica que serão aceitos apenas recursos que estão no mesmo domínio do seu site.
Desta forma, qualquer tentativa de carregar recursos de outros domínios serão bloqueados pelo navegador.
A configuração correta deste recurso ajuda a prevenir ataques como o de cross-site scripting (XSS).
Sintaxe
Para utilizar o Content-Security-Policy basta informar as diretivas desejadas separando-as com ponto e vírgula (;).
Informando mais de uma diretiva
default-src 'self'; script-src 'self' js.example.com; connect-src 'self';
É possível também informar em cada diretiva mais de um valor, veja o exemplo abaixo:
Uma diretiva com mais de um valor
default-src 'self' cdn.example.com;
Diretivas
Abaixo seguem algumas diretivas para utilização no Content-Security-Policy. Vale ressaltar que a configuração é de responsabilidade do desenvolvedor, atendendo a regra de negócio do seu sistema.
Esta configuração é importante para proteger seu sistema contra ataques, porém requer atenção na sua configuração para que não sejam bloqueados recursos legítimos ou que causem incompatibilidade com os navegadores. É recomendável a realização de testes com diferentes configurações para verificar o funcionamento correto do sistema.
default-src
Esta diretiva define a política padrão para busca de recursos como JavaScript, Imagens, CSS, Fontes, Soliciações AJAX, quadros e Mídia HTML5.
Nem todas as diretivas retrocedem default-src, consulta a referência da çosta de fontes para obter os valores possíveis.
Exemplo de Política DEFAULT-SRC
default-src 'self' cdn.example.com;
script-src
Define fontes válidas de JavaScript.
Exemplo de Política SCRIPT-SRC
script-src 'self' js.example.com;
style-src
Define fontes válidas de folhas de estilo ou CSS.
POLÍTICA STYLE-SRC de EXEMPLO__
style-src 'self' css.example.com;
img-src
Define fontes válidas de imagens.
Exemplo de Política IMG-SRC
img-src 'self' img.example.com;
connect-src
Aplica-se a XMLHttpRequest(AJAX), WebSocket, fetch(), <a ping>
ou EventSource. Se não for permitido, o navegador emula um código 400 de status HTTP.
Exemplo de Política CONNECT-SRC
connect-src 'self';
font-src
Define fontes válidas de recursos de fontes (carregados via @font-face).
Exemplo de Política FONT-SRC
font-src font.example.com;
object-src
Define fontes válidas de plug-ins, por exemplo <object>
, <embed>
ou <applet>
.
Exemplo de Política OBJECT-SRC
object-src 'self';
media-src
Define fontes válidas de áudio e vídeo, por exemplo <audio>
, HTML5 , <video>
elementos.
Exemplo de Política MEDIA-SRC
media-src media.example.com;
frame-src
Define fontes válidas para carregar frames. No CSP, o Nível 2 frame-srcfoi preterido em favor da child-srcdiretiva. Nível 3 do CSP, não foi substituídoframe-src e continuará a adiar child-srcse não estiver presente.
Exemplo FRAME-SRC
frame-src 'self';
sandbox
Ativa uma caixa de proteção para o recurso solicitado semelhante ao iframe sandboxatributo. O sandbox aplica uma política de mesma origem, evita pop-ups, plug-ins e bloqueia a execução de scripts. Você pode manter o valor sandbox esvaziar a manter todas as restrições no lugar, ou adicionar valores: allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, eallow-top-navigation
Exemplo de política de SANDBOX
sandbox allow-forms allow-scripts;
report-uri
Instrui o navegador a fazer um POST de relatórios de falhas de política para este URI. Você também pode usar Content-Security-Policy-Report-Onlycomo o nome do cabeçalho HTTP para instruir o navegador a enviar apenas relatórios (não bloqueia nada). Esta diretiva foi descontinuada no CSP Nível 3 em favor da report-todiretiva.
Exemplo REPORT-URI
report-uri /some-report-uri;
child-src
Define fontes válidas para web workers e contextos de navegação aninhados carregados usando elementos como <frame>
e <iframe>
Exemplo de Política FILHO-SRC
child-src 'self'
form-action
Define fontes válidas que podem ser usadas como uma <form>
ação HTML.
Exemplo de política de ação de formulário
form-action 'self';
frame-ancestors
Define fontes válidas para incorporar o recurso usando <frame> <iframe> <object> <embed> <applet>
. Definir esta diretiva como ‘none’deve ser aproximadamente equivalente aX-Frame-Options: DENY
POLÍTICA de EXEMPLO de FRAME-ANCESTORS__
frame-ancestors ‘none’;
plugin-types
Define os tipos de MIME válidos para plug-ins chamados via <object>
e <embed>
. Para carregar um, <applet>
você deve especificar application/x-java-applet.
Exemplo de Política de TIPOS de PLUG-IN
plugin-types application/pdf;
base-uri
Define um conjunto de URLs permitidos que podem ser usados no srcatributo de uma basetag HTML .
Exemplo de Política de URI-BASE
base-uri 'self';
report-to
Define um nome de grupo de relatórios definido por um Report-Tocabeçalho de resposta HTTP. Consulte a API de relatórios para obter mais informações.
Exemplo de Relatório para Diretiva
report-to groupName;
worker-src
Restringe os URLs que podem ser carregados como Worker, SharedWorker ou ServiceWorker.
Exemplo de Política WORKER-SRC
worker-src 'none';
manifest-src
Restringe os URLs em que os manifestos do aplicativo podem ser carregados.
Exemplo de Política MANIFEST-SRC
manifest-src 'none';
prefetch-src
Define fontes válidas para pré-busca e pré-renderização de solicitação, por exemplo, por meio da linktag com rel=”prefetch”ou rel=”prerender”:
Exemplo de Política PREFETCH-SRC
prefetch-src 'none'
navigate-to
Restringe os URLs para os quais o documento pode navegar por qualquer meio. Por exemplo, quando um link é clicado, um formulário é enviado ou window.locationchamado. Se form-actionestiver presente, esta diretiva será ignorada para envios de formulários. Status de implementação
Exemplo de Política de NAVEGAÇÃO
navigate-to example.com