post
Cabeçalho de segurança, CSP (Content-Security-Policy), Strict-Transport-Security, e outros apontamentos via CloudFlare
Publicado em: 17/12/2024 / Atualizado em: 17/12/2024
Nesse post, eu vou te mostrar alguns parâmetros de segurança importantes para você adicionar no cabeçalho das suas requisições via Cloudflare e alguns sites que você pode utilizar para analisar esses parâmetros de maneira mais aprimorada.
O site que vamos utilizar para realizar a análise dos cabeçalhos dos sites é este aqui: https://securityheaders.com/, onde você pode simplesmente digitar o URL do site e ele te dá uma classificação com base nos cabeçalhos de segurança aplicados no site.
Se você está utilizando a Cloudflare como o seu sistema de gerenciamento de registros, é muito simples você aplicar essas regras ao seu cabeçalho para conseguir uma classificação mais alta. Caso você não esteja utilizando a Cloudflare, recomendo que utilize.
1 – Ativar cabeçalhos de segurança
Primeiramente, você vai acessar o site que você deseja configurar os cabeçalhos de segurança, vai clicar em “regras”, “regras de transformação“, e lá na última opção vai habilitar a opção “adicionar cabeçalhos de segurança“.
Com essa opção habilitada, muito provavelmente a sua pontuação já vai subir, mas ainda tem alguns ajustes finos que você pode fazer para subir ainda mais e melhorar a segurança do seu site.
2 – Adicionando cabeçalhos personalizados
Você vai acessar agora a guia de “regras de transformação“, e você vai criar uma “regra personalizada de cabeçalho de resposta HTTP“. Você vai colocar um nome de regra que você identifique fácil, vai selecionar a opção todas as solicitações recebidas, e vai adicionar essas outras duas regras personalizadas.
Segue abaixo o script das regras:
Content-Security-Policy =
script-src 'self' data: 'unsafe-inline' 'unsafe-hashes' 'unsafe-eval' https://*
Permissions-Policy =
geolocation=*, microphone=*, camera=*, fullscreen=*
Com essas regras padrões de política adicionadas no cabeçalho do seu site, com certeza você vai conseguir uma pontuação alta e atender as regras de mercado.
Porém, eu preciso salientar com muita atenção que as regras acima dão uma permissão geral a todos os sites poderem executar scripts no seu site. Então isso quer dizer que links externos de rastreamento, como provavelmente você deve utilizar, o Google Analytics, RDStation, Hotjar, entre outras, vão continuar funcionando perfeitamente e assim não vai atrapalhar a sua operação.
Porém, também scripts maliciosos de links externos também podem continuar executando. Isso é, talvez, uma brecha de segurança. Então, via de regra, você pode adicionar mais restrições colocando diretamente o domínio.
Você pode também personalizar a sua política de segurança de conteúdo acessando esse site aqui: https://report-uri.com/home/generate que você consegue modelar e personalizar com um painel bem intuitivo e gerar sua própria política de segurança mais restritiva.
Publicações recomendadas:
Inscreva-se em Nossa News:
Seja notificando sempre que tiver conteúdo novo disponível no meu canal do Youtube ou artigo no meu Blog.
Link Curto para Compartilhamento
Compartilhe esse conteudo nas redes sociais ou por mensagem usando o link curto abaixo. Basta clicar em cima do link para copiar.
bruno.art.br/pb/5925
ID de Referência: 5925
Sugira uma publicação
Envie uma mensagem e sugira um publicação sobre um assunto que tenha dificuldades de resolver.