Segurança web

Como revisar cabeçalhos de segurança, CSP e HSTS

Um processo de implantação para entender qual camada define cada cabeçalho, testar o comportamento real do navegador e evitar bloqueios ou uma falsa sensação de segurança.

Cabeçalhos de segurança adicionam controles no navegador, mas um cabeçalho presente ainda pode ser ineficaz, contraditório ou aparecer somente em algumas respostas. Verifique a política e o caminho de entrega como um único sistema.

Comece pela resposta pública final

Verifique a aplicação, o proxy reverso, a CDN, páginas de erro, redirecionamentos e páginas autenticadas. Identifique qual camada controla cada cabeçalho para que uma implantação posterior não o sobrescreva.

Implante CSP e HSTS com cuidado

Use primeiro CSP em modo report-only para coletar violações e depois remova fontes inseguras de forma deliberada. Ative HSTS somente quando todos os subdomínios necessários funcionarem em HTTPS e você compreender includeSubDomains e preload.

Verifique o comportamento e não apenas a presença

Teste o carregamento em quadros, a detecção de tipos MIME, o vazamento de referências, permissões de recursos, scripts incorporados, integrações de terceiros e os relatórios do console do navegador em páginas representativas.

Checklist de revisão dos cabeçalhos de segurança

  • Inspecione respostas finais com diferentes códigos de status
  • Defina um responsável por cada cabeçalho
  • Teste CSP em report-only antes de aplicá-la
  • Confirme que todos os hosts HSTS aceitam HTTPS
  • Repita os testes do navegador após cada implantação

Guias relacionados

Entenda o workflow por trás desta ferramenta e o que revisar depois.

Ferramentas relacionadas