Skip to content
Latchkey

O Que É um Security Header? Headers HTTP Que Reforçam um Site

Um security header é um header de resposta HTTP que diz ao browser para aplicar uma proteção, reforçando um site contra ataques web comuns.

Security headers são uma forma fácil e de alto impacto de tornar uma aplicação web mais segura. Ao adicionar alguns headers de resposta HTTP, você instrui o browser a aplicar proteções como bloquear conteúdo misto, framing ou scripts não confiáveis. Eles quase não custam nada para adicionar, mas fecham classes inteiras de ataques, razão pela qual verificações de CI frequentemente os checam.

O que os security headers fazem

Quando o browser recebe uma resposta, os security headers dizem a ele como se comportar: quais scripts confiar, se a página pode ser colocada em um frame e se deve elevar conexões para HTTPS. O browser aplica essas regras, então a proteção roda no cliente.

Os headers principais

  • Content-Security-Policy: restringe quais scripts e recursos podem carregar.
  • Strict-Transport-Security: força HTTPS em visitas futuras.
  • X-Content-Type-Options e X-Frame-Options: bloqueiam MIME sniffing e clickjacking.

Content Security Policy

O CSP é o security header mais poderoso. Ao declarar exatamente quais fontes de scripts, estilos e outros recursos são permitidas, ele limita drasticamente o impacto do cross-site scripting, já que scripts injetados de fontes não aprovadas simplesmente não rodam.

HSTS e transporte

O Strict-Transport-Security diz ao browser para sempre usar HTTPS no site, prevenindo ataques de downgrade e conexões acidentais em texto puro. Uma vez definido, o browser se recusa a conversar com o site por HTTP puro.

Security headers em CI/CD

Como headers são simples de verificar, um passo de CI pode afirmar que estão presentes e corretos a cada deploy. Verificações automatizadas capturam uma regressão, como um CSP removido, antes que chegue aos usuários, transformando uma configuração única em uma garantia contínua.

Pouco esforço, alto valor

Poucas defesas oferecem tanta proteção por linha de configuração quanto os security headers. Defini-los corretamente e verificá-los no pipeline é uma vitória rápida que reforça cada página que um deploy entrega.

Principais conclusões

  • Security headers instruem o browser a aplicar proteções contra ataques web.
  • Os principais incluem CSP, Strict-Transport-Security e headers anti-framing.
  • São baratos de adicionar e fáceis de verificar no CI a cada deploy.

Guias relacionados