Cabeçalhos de segurança HTTP que deve ter
Alguns cabeçalhos bem definidos travam ataques comuns e melhoram a sua pontuação em qualquer auditoria web.
O seu servidor web pode enviar cabeçalhos que indicam ao navegador como se comportar de forma segura. São gratuitos e configuram-se uma só vez.
O essencial
Strict-Transport-Security(HSTS): força sempre HTTPS.Content-Security-Policy(CSP): controla de onde carregam scripts, estilos, etc. É o mais poderoso contra XSS (e o mais difícil de afinar).X-Content-Type-Options: nosniff: impede que o navegador "adivinhe" os tipos de ficheiro.Referrer-Policy: limita que informação de origem é divulgada durante a navegação.X-Frame-Options/ CSP frame-ancestors: evita que o seu sítio seja incorporado num iframe (clickjacking).
Como verificar
Ferramentas como securityheaders.com dão-lhe uma nota rápida. Para auditar TLS, SSL Labs. Comece pelo HSTS e nosniff (fáceis) e deixe o CSP para quando o puder testar sem partir o sítio.
Nenhum cabeçalho substitui código seguro, mas são uma camada barata que vale a pena ter.
#web#http#segurança#cabeçalhos