post

Cabeçalho de segurança, CSP (Content-Security-Policy), Strict-Transport-Security, e outros apontamentos via CloudFlare

Publicado em: 17/12/2024 / Atualizado em: 17/12/2024

Categorias: BlogCibersegurançaCloudflareHTTP

Nesse post, eu vou te mostrar alguns parâmetros de segurança importantes para você adicionar no cabeçalho das suas requisições via Cloudflare e alguns sites que você pode utilizar para analisar esses parâmetros de maneira mais aprimorada.

O site que vamos utilizar para realizar a análise dos cabeçalhos dos sites é este aqui: https://securityheaders.com/, onde você pode simplesmente digitar o URL do site e ele te dá uma classificação com base nos cabeçalhos de segurança aplicados no site.

image
print site security headers

Se você está utilizando a Cloudflare como o seu sistema de gerenciamento de registros, é muito simples você aplicar essas regras ao seu cabeçalho para conseguir uma classificação mais alta. Caso você não esteja utilizando a Cloudflare, recomendo que utilize.

1 – Ativar cabeçalhos de segurança

Primeiramente, você vai acessar o site que você deseja configurar os cabeçalhos de segurança, vai clicar em “regras”, “regras de transformação“, e lá na última opção vai habilitar a opção “adicionar cabeçalhos de segurança“.

image
print painel de regras cloudflare

Com essa opção habilitada, muito provavelmente a sua pontuação já vai subir, mas ainda tem alguns ajustes finos que você pode fazer para subir ainda mais e melhorar a segurança do seu site.

2 – Adicionando cabeçalhos personalizados

Você vai acessar agora a guia de “regras de transformação“, e você vai criar uma “regra personalizada de cabeçalho de resposta HTTP“. Você vai colocar um nome de regra que você identifique fácil, vai selecionar a opção todas as solicitações recebidas, e vai adicionar essas outras duas regras personalizadas.

image
print painel de regras personalizadas

Segue abaixo o script das regras:

Content-Security-Policy = 
script-src 'self' data: 'unsafe-inline' 'unsafe-hashes' 'unsafe-eval' https://*

Permissions-Policy = 
geolocation=*, microphone=*, camera=*, fullscreen=*

Com essas regras padrões de política adicionadas no cabeçalho do seu site, com certeza você vai conseguir uma pontuação alta e atender as regras de mercado.

Porém, eu preciso salientar com muita atenção que as regras acima dão uma permissão geral a todos os sites poderem executar scripts no seu site. Então isso quer dizer que links externos de rastreamento, como provavelmente você deve utilizar, o Google Analytics, RDStation, Hotjar, entre outras, vão continuar funcionando perfeitamente e assim não vai atrapalhar a sua operação.

Porém, também scripts maliciosos de links externos também podem continuar executando. Isso é, talvez, uma brecha de segurança. Então, via de regra, você pode adicionar mais restrições colocando diretamente o domínio.

Você pode também personalizar a sua política de segurança de conteúdo acessando esse site aqui: https://report-uri.com/home/generate que você consegue modelar e personalizar com um painel bem intuitivo e gerar sua própria política de segurança mais restritiva.

Publicações recomendadas:


Inscreva-se em Nossa News:

Seja notificando sempre que tiver conteúdo novo disponível no meu canal do Youtube ou artigo no meu Blog.

Bruno Devs News


Link Curto para Compartilhamento

Compartilhe esse conteudo nas redes sociais ou por mensagem usando o link curto abaixo. Basta clicar em cima do link para copiar.

bruno.art.br/pb/5925

ID de Referência: 5925

Sugira uma publicação

Envie uma mensagem e sugira um publicação sobre um assunto que tenha dificuldades de resolver.

Clique aqui e entre em contato