Saiba mais sobre cabeçalhos que podem manter seu site seguro e procurar rapidamente os detalhes mais importantes.
Este artigo lista os cabeçalhos de segurança mais importantes que podem ser usados para proteger seu site. Use esse recurso para entender os recursos de segurança baseados na Web e aprender a implementá-las em seu site e como referência para quando você precisar de um lembrete.
- Cabeçalhos de segurança recomendados para sites que lidam com dados confidenciais do usuário:
- Política de Segurança de Conteúdo (CSP)
- Tipos confiáveis
- Cabeçalhos de segurança recomendados para todos os sites:
- X-Content-Type-Options
- X-Frame-Options
- Política de recursos entre origens (CORP)
- Política de abertura de origem cruzada (COOP, na sigla em inglês)
- Segurança de transporte restrito HTTP (HSTS, na sigla em inglês)
- Cabeçalhos de segurança para sites com recursos avançados:
- Compartilhamento de recursos entre origens (CORS)
- Política de incorporador de origem cruzada (COEP, na sigla em inglês)
Antes de se aprofundar nos cabeçalhos de segurança, saiba mais sobre ameaças conhecidas na Web e por que usar esses cabeçalhos de segurança.
Proteja seu site contra vulnerabilidades de injeção
As vulnerabilidades de injeção surgem quando dados não confiáveis são processados pelo aplicativo pode afetar seu comportamento e, normalmente, levar à execução de scripts controlados pelo invasor. A vulnerabilidade mais comum causada pela injeção bugs é entre sites scripting (XSS) em suas várias formas, incluindo refletidas XSS, XSS armazenado, Com base em DOM XSS e outras variantes.
Uma vulnerabilidade XSS geralmente pode dar a um invasor acesso completo aos dados do usuário processados pelo aplicativo e qualquer outra informação hospedada no mesmo serviço origem.
As defesas tradicionais contra injeções incluem o uso consistente de escape automático. Sistemas de modelo HTML, evitando o uso de perigosos sistemas JavaScript APIs e o processamento adequado dos dados do usuário hospedando uploads de arquivos em um domínio separado e a limpeza do HTML controlado pelo usuário.
- Usar a Política de Segurança de Conteúdo (CSP) para controlar quais scripts podem ser executada pelo aplicativo para reduzir o risco de injeções.
- Use Tipos confiáveis para aplicar a sanitização dos dados transmitidos para ambientes APIs JavaScript do Google.
- Use X-Content-Type-Options para impedir que o navegador interpretar incorretamente os tipos MIME dos recursos do site, o que pode levar a a execução do script.
Isolar seu site de outros sites
A abertura da Web permite que os sites interajam entre si de maneiras que podem violar as expectativas de segurança de um aplicativo. Isso inclui fazer solicitações autenticadas ou incorporar dados de outro aplicativo no do invasor, permitindo que ele modifique ou leia os dados do aplicativo.
Vulnerabilidades comuns que minam o isolamento da Web incluem clickjacking, entre sites request forgery (CSRF), cross-site inclusão de scripts (XSSI) e diversos vazamentos entre sites.
- Usar o X-Frame-Options para impedir que seus documentos sejam incorporados por um site malicioso.
- Use a política de recursos de origem cruzada (CORP, na sigla em inglês) para impedir que o sistema recursos sejam incluídos por um site de origem cruzada.
- Use a Política de abertura de origem cruzada (COOP, na sigla em inglês) para proteger a segurança do seu site para impedir interações de sites maliciosos.
- Use o Compartilhamento de recursos entre origens (CORS) para controlar o acesso aos seus os recursos do seu site com documentos de várias origens.
Web pós-espectro Desenvolvimento é uma ótima leitura se você tiver interesse neles.
Crie um site eficiente com segurança
Spectre: coloca todos os dados carregados
no mesmo grupo de contexto de navegação, possivelmente legível
apesar da política de mesma origem. Os navegadores restringem recursos
que podem explorar a vulnerabilidade por trás de um ambiente especial chamado
"isolamento de origem cruzada". Com o isolamento de origem cruzada, é possível
use recursos avançados, como SharedArrayBuffer.
- Use a política de incorporador de origem cruzada (COEP, na sigla em inglês) com o COOP para ativar o isolamento de origem cruzada.
Criptografe tráfego para seu site
Os problemas de criptografia aparecem quando um aplicativo não criptografa totalmente os dados permitindo que invasores espelham informações sobre as interações dos usuários com o aplicativo.
A criptografia insuficiente pode ocorrer nestes casos: não usar HTTPS,
conteúdo misto, configurando cookies sem a Secure
atributo
(ou __Secure
prefixo),
ou validação lax do CORS
lógica.
- Use HTTP Strict Transport Security (HSTS) para atender às suas por HTTPS.
Política de Segurança de Conteúdo (CSP)
Scripting em vários locais (XSS) é um ataque em que uma vulnerabilidade em um site permite que um script malicioso seja injetado e executada.
O Content-Security-Policy fornece uma camada adicional para mitigar ataques XSS:
restringir quais scripts podem ser executados pela página.
É recomendável ativar a CSP restrita usando uma das seguintes abordagens:
- Se você renderizar as páginas HTML no servidor, use uma CSP rigorosa com base em valor de uso único.
- Se o seu HTML precisar ser veiculado estaticamente ou em cache, por exemplo, se for um aplicativo de página única, use uma CSP rigorosa baseada em hash.
Exemplo de uso: uma CSP com base em valor de uso único
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Usos recomendados
1. Usar uma CSP rigorosa com base no valor de uso único {: #nonce-based-csp}
Se você renderizar as páginas HTML no servidor, use uma CSP rigorosa com base em valor de uso único.
Gere um novo valor de uso único do script para cada solicitação do lado do servidor e defina o seguinte cabeçalho:
arquivo de configuração do servidor
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Em HTML, para carregar os scripts, defina o atributo nonce de todos
<script> tags na mesma string {RANDOM1}.
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>
O Google Fotos é uma boa CSP rigorosa com base em valor de uso único. exemplo. Use o DevTools para conferir como ele é usado.
2. Usar uma CSP rigorosa baseada em hash {: #hash-based-csp}
Se seu HTML precisar ser veiculado estaticamente ou em cache, por exemplo, se você criar um aplicativo de página única, use uma CSP rigorosa baseada em hash.
arquivo de configuração do servidor
Content-Security-Policy:
script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Em HTML, você precisa inserir seus scripts in-line para aplicar uma regra política, já que a maioria dos navegadores não oferece suporte a hash scripts.
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
Para carregar scripts externos, leia "Carregar scripts de origem dinamicamente". abaixo Seção Opção B: cabeçalho de resposta da CSP com base em hash.
O CSP Evaluator é uma boa ferramenta para avaliar seu CSP, mas ao mesmo tempo que um bom exemplo de CSP estrito com base no valor de uso único. Use o DevTools para conferir como ele é usado.
Navegadores compatíveis
Outras observações sobre a CSP
frame-ancestorsprotege seu site contra clickjacking, um risco que surge se você permitir sites não confiáveis para incorporar os seus. Se preferir uma solução mais simples, useX-Frame-Optionspara bloquear o carregamento, masframe-ancestorsfornece uma configuração avançada para permitir apenas origens específicas como incorporadores.- Talvez você tenha usado uma CSP para garantir que todos os recursos do seu site sejam carregados por HTTPS. Isso tem se tornarem menos relevantes: hoje, a maioria dos navegadores bloqueia conteúdo misto.
- Também é possível definir uma CSP no modo somente relatórios .
- Se não for possível definir um CSP como cabeçalho do lado do servidor, configure-o como um meta tag. Não é possível usar o modo somente relatórios para metatags (embora isso pode mudar).
Saiba mais
Tipos confiáveis
Com base em DOM
O XSS é uma
em que dados maliciosos são passados para um coletor compatível com código dinâmico
como eval() ou .innerHTML.
Os Tipos confiáveis oferecem as ferramentas necessárias para escrever, revisar e manter aplicativos sem XSS do DOM. Eles podem ser ativados via CSP e fazer O código JavaScript é seguro por padrão, limitando as APIs da Web perigosas a aceitar apenas um objeto especial, um tipo confiável.
Para criar esses objetos, é possível definir políticas de segurança que garantam que as regras de segurança (como escape ou sanitização) sejam aplicadas de maneira consistente. antes que os dados sejam gravados no DOM. Essas políticas são os únicos lugares no código que poderia introduzir o DOM XSS.
Exemplos de uso
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
Usos recomendados
-
Aplicar tipos confiáveis para coletores do DOM perigosos Cabeçalho da CSP e dos tipos confiáveis:
Content-Security-Policy: require-trusted-types-for 'script'
Atualmente,
'script'é o único valor aceitável pararequire-trusted-types-for.É possível combinar Tipos confiáveis com outras diretivas da CSP:
Mesclagem de um CSP baseado em valor de uso único acima com Tipos confiáveis:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>Observação:</b> É possível limitar os nomes de políticas de Tipos confiáveis permitidos definindo mais <code>tipos confiáveis</code> (por exemplo, <code>trusted-types myPolicy</code>). No entanto, isso não é um requisito. </aside>
-
Definir uma política
Política:
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\/g, '>');
}
});
}
-
Aplicar a política
Use a política ao gravar dados no DOM:
// Assignment of raw strings are blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.</p>
<p>// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src="x" onerror="alert(1)">');
el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
Com o require-trusted-types-for 'script', usar um tipo confiável é uma
requisito fundamental. O uso de uma API do DOM perigosa com uma string resultará em uma
erro.
Navegadores compatíveis
Saiba mais
- Evite vulnerabilidades de scripting em vários sites baseado em DOM com o programa Trusted
Tipos
- CSP: required-trusted-types-for - HTTP |
MDN
- CSP: trusted-types – HTTP |
MDN
- Demonstração de Tipos confiáveis: abra o DevTools Inspector e veja
o que está acontecendo
X-Content-Type-Options
Quando um documento HTML malicioso é disponibilizado a partir de seu domínio (por exemplo, se um imagem enviada para um serviço de fotos contém marcação HTML válida), alguns navegadores vai tratá-lo como um documento ativo e permitir que ele execute scripts na do aplicativo, levando a um scripting em vários sites bug.
X-Content-Type-Options: nosniff impede isso ao instruir o navegador que
o tipo MIME definido no
o cabeçalho Content-Type de uma determinada resposta está correto. Este cabeçalho é
recomendado para todos os seus recursos.
Exemplo de uso
X-Content-Type-Options: nosniff
Usos recomendados
A opção X-Content-Type-Options: nosniff é recomendada para todos os recursos disponibilizados em
seu servidor, além do cabeçalho Content-Type correto.
Exemplos de cabeçalhos enviados com um documento HTML
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
Navegadores compatíveis
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Saiba mais
X-Frame-Options
Se um site malicioso conseguir incorporar seu site como um iframe, isso poderá permitir os invasores invoquem ações não intencionais do usuário com clickjacking. Além disso, em alguns casos Tipo Spectre ataques dão sites maliciosos tenham a chance de aprender sobre o conteúdo de um documento incorporado.
X-Frame-Options indica se um navegador tem permissão para renderizar.
uma página em um <frame>, <iframe>, <embed> ou <object>. Todos os documentos
é recomendável enviar esse cabeçalho para indicar se eles permitem ser
incorporados por outros documentos.
Exemplo de uso
X-Frame-Options: DENY
Usos recomendados
Todos os documentos que não foram projetados para serem incorporados precisam usar o cabeçalho X-Frame-Options.
Tente como as configurações a seguir afetam o carregamento de um iframe neste
demonstração. Mudar o X-Frame-Options
e clique no botão Atualizar o iframe.
Protege seu site contra a incorporação de outros sites.
Negar serem incorporados por outros documentos.
X-Frame-Options: DENY
Protege seu site contra a incorporação por sites de origem cruzada.
Permitir a incorporação apenas por documentos de mesma origem.
X-Frame-Options: SAMEORIGIN
Navegadores compatíveis
Saiba mais
Política de recursos entre origens (CORP, na sigla em inglês)
Um invasor pode incorporar recursos de outra origem, por exemplo, do seu site, para aprender informações sobre elas, explorando a plataforma entre sites vazamentos de dados.
Cross-Origin-Resource-Policy reduz esse risco indicando o conjunto de
os sites em que podem ser carregados. O cabeçalho usa um destes três valores:
same-origin, same-site e cross-origin. Todos os recursos estão
recomendado enviar esse cabeçalho para indicar se eles permitem o carregamento
e outros sites.
Exemplo de uso
Cross-Origin-Resource-Policy: same-origin
Usos recomendados
É recomendável que todos os recursos sejam disponibilizados com um dos seguintes três cabeçalhos.
Tente como as configurações a seguir afetam o carregamento de recursos em um
ambiente Cross-Origin-Embedder-Policy: require-corp neste
demonstração. Altere o
Cross-Origin-Resource-Policy e clique no botão Atualizar
iframe ou Atualizar a imagem para conferir o efeito.
Permitir que os recursos sejam carregados cross-origin
É recomendável que os serviços como CDN apliquem cross-origin aos recursos
(pois são normalmente carregados por páginas de origem cruzada), a menos que já tenham sido veiculados
pelo CORS, que tem um efeito semelhante.
Cross-Origin-Resource-Policy: cross-origin
Limitar os recursos a serem carregados do same-origin
same-origin precisa ser aplicado somente aos recursos que precisam ser carregados
por páginas de mesma origem. Isso deve ser aplicado a recursos que incluem dados
informações sobre o usuário ou respostas de uma API que deveria ser chamada
apenas da mesma origem.
Lembre-se de que os recursos com esse cabeçalho ainda podem ser carregados diretamente, para exemplo navegando até o URL em uma nova janela do navegador. Recurso de origem cruzada A política só protege o recurso contra a incorporação por outros sites.
Cross-Origin-Resource-Policy: same-origin
Limitar os recursos a serem carregados do same-site
Recomenda-se que a same-site seja aplicada a recursos semelhantes ao exemplo acima.
mas devem ser carregados por outros subdomínios do seu site.
Cross-Origin-Resource-Policy: same-site
Navegadores compatíveis
Saiba mais
Política de abertura de origem cruzada (COOP, na sigla em inglês)
O site de um invasor pode abrir outro site em uma janela pop-up para aprender mais informações sobre ele explorando vários sites vazamentos de dados. Em alguns casos, isso também pode permitir que exploração de ataques de canal lateral com base no Spectre:
O cabeçalho Cross-Origin-Opener-Policy permite isolar um documento
a partir de janelas de origem cruzada abertas por window.open() ou um link com
target="_blank" sem rel="noopener". Como resultado, qualquer abertura de origem cruzada
do documento não terão referência a ele e não poderão interagir
a ele.
Exemplo de uso
Cross-Origin-Opener-Policy: same-origin-allow-popups
Usos recomendados
Tente como as configurações a seguir afetam a comunicação com um janela pop-up de origem cruzada nesta demonstração. Alterar o menu suspenso Cross-Origin-Opener-Policy para o documento e na janela pop-up, clique no botão Abrir um pop-up e depois em Enviar uma postMessage para ver se a mensagem é realmente entregue.
Isolar um documento de janelas de origem cruzada
Definir same-origin isola o documento da origem cruzada
janelas de documentos.
Cross-Origin-Opener-Policy: same-origin
Isolar um documento de janelas de origem cruzada, mas permitir pop-ups
A configuração same-origin-allow-popups permite que um documento retenha uma referência a
as janelas pop-up, a menos que definam COOP com same-origin ou
same-origin-allow-popups: Isso significa que same-origin-allow-popups ainda pode
proteger o documento de ser referenciado quando aberto como uma janela pop-up, mas
permitem que ele se comunique com seus próprios pop-ups.
Cross-Origin-Opener-Policy: same-origin-allow-popups
Permitir que um documento seja referenciado por janelas de origem cruzada
unsafe-none é o valor padrão, mas é possível indicar explicitamente que esse
documento possa ser aberto por uma janela de origem cruzada e manter o acesso mútuo.
.
Cross-Origin-Opener-Policy: unsafe-none
Padrões de relatório incompatíveis com a COOP
Você poderá receber relatórios quando a COOP impedir interações entre janelas com o API Reporting.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"
A COOP também é compatível com o modo somente relatório. Assim, você pode receber relatórios sem para bloquear a comunicação entre documentos de origem cruzada.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"
Navegadores compatíveis
Saiba mais
Compartilhamento de recursos entre origens (CORS, na sigla em inglês)
Ao contrário de outros itens neste artigo, o Compartilhamento de recursos entre origens (CORS) não é um cabeçalho, mas um mecanismo de navegador que solicita e permite acesso a recursos entre origens.
Por padrão, os navegadores aplicam a política de mesma origem aos impedir que uma página da Web acesse recursos de origem cruzada. Por exemplo, quando um imagem de origem cruzada é carregada, mesmo que seja exibida na página da Web visualmente, o JavaScript na página não tem acesso aos dados da imagem. O provedor de recursos pode flexibilizar as restrições e permitir que outros sites leiam o recurso ativando o CORS.
Exemplo de uso
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Antes de ver como configurar o CORS, é útil entender as a diferença entre os tipos de solicitações. Dependendo dos detalhes da solicitação, será classificada como solicitação simples ou solicitação simulada.
Critérios para uma solicitação simples:
- O método é
GET,HEADouPOST. - Os cabeçalhos personalizados incluem apenas
Accept,Accept-Language,Content-LanguageeContent-Type. - O valor da coluna
Content-Typeéapplication/x-www-form-urlencoded.multipart/form-dataoutext/plain.
Todo o restante é classificado como uma solicitação simulada. Para mais detalhes, confira Compartilhamento de recursos entre origens (CORS) - HTTP | MDN.
Usos recomendados
Solicitação simples
Quando uma solicitação atende aos critérios de solicitação simples, o navegador envia uma
solicitação entre origens com um cabeçalho Origin que indica a solicitação
origem.
Exemplo de cabeçalho de solicitação
Get / HTTP/1.1 Origin: https://example.com
Exemplo de cabeçalho de resposta
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.comindica que ohttps://example.compode acessar o conteúdo da resposta. Recursos pretendidos para que possa ser lido por qualquer site, defina esse cabeçalho como*. Nesse caso, navegador só exigirá que a solicitação seja feita sem credenciais.Access-Control-Allow-Credentials: trueindica que as solicitações que transportam credenciais (cookies) têm permissão para carregar o recurso. Caso contrário, solicitações autenticadas serão rejeitadas mesmo se a origem solicitante for presente no cabeçalhoAccess-Control-Allow-Origin.
Tente como a solicitação simples afeta o carregamento de recursos em uma
ambiente Cross-Origin-Embedder-Policy: require-corp neste
demonstração. Clique no botão
Compartilhamento de recursos entre origens e clique em Atualizar a imagem.
para conferir o efeito.
Solicitações simuladas
Uma solicitação de simulação é precedida por uma solicitação OPTIONS para verificar se o
solicitação seguinte pode ser enviada.
Exemplo de cabeçalho de solicitação
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
Access-Control-Request-Method: POSTpermite que a solicitação a seguir seja feita com o métodoPOST.Access-Control-Request-Headers: X-PINGOTHER, Content-Typepermite que solicitante defina os cabeçalhos HTTPX-PINGOTHEReContent-Typena solicitação subsequente.
Exemplos de cabeçalhos de resposta
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONSindica que as As solicitações podem ser feitas com os métodosPOST,GETeOPTIONS.Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeindica subsequentes podem incluir os cabeçalhosX-PINGOTHEReContent-Type.Access-Control-Max-Age: 86400indica que o resultado da simulação pode ser armazenada em cache por 86.400 segundos.
Navegadores compatíveis
Saiba mais
Política de incorporador de origem cruzada (COEP, na sigla em inglês)
Para reduzir a capacidade baseada em Spectre
ataques para
roubar recursos de origem cruzada, atributos como SharedArrayBuffer ou
performance.measureUserAgentSpecificMemory() estão desativados por padrão.
Cross-Origin-Embedder-Policy: require-corp impede que documentos e workers
carregando recursos de origem cruzada, como imagens, scripts, folhas de estilo, iframes e
outros, a menos que esses recursos optem explicitamente pelo carregamento via CORS
ou cabeçalhos do CORP. O COEP pode ser combinado com aCross-Origin-Opener-Policy
para ativar o isolamento de origem cruzada de um documento.
Use Cross-Origin-Embedder-Policy: require-corp quando quiser ativar
isolamento de origem cruzada para seu documento.
Exemplo de uso
Cross-Origin-Embedder-Policy: require-corp
Exemplos de uso
O COEP usa um único valor de require-corp. Ao enviar esse cabeçalho, você pode
instrua o navegador a bloquear o carregamento de recursos que não são ativados pelo
CORS ou CORP.
Tente como as configurações a seguir afetam o carregamento de recursos neste demonstração. Altere o menu suspenso Cross-Origin-Embedder-Policy, a Menu suspenso Cross-Origin-Resource-Policy, a caixa de seleção Somente relatório etc. para conferir como elas afetam o carregamento de recursos. Além disso, abra o endpoint de relatórios demo para ver se os recursos bloqueados relatadas.
Ativar isolamento de origem cruzada
Ative o isolamento de origem cruzada enviando
Cross-Origin-Embedder-Policy: require-corp junto com
Cross-Origin-Opener-Policy: same-origin.
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
Informar recursos incompatíveis com o COEP
É possível receber relatórios de recursos bloqueados causados pelo COEP com a guia "Relatórios" API.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"
O COEP também é compatível com o modo somente relatório. Assim, você pode receber relatórios como bloquear o carregamento de recursos.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"
Navegadores compatíveis
Saiba mais
Segurança de transporte restrito HTTP (HSTS, na sigla em inglês)
A comunicação por uma conexão HTTP simples não é criptografada, tornando dados transferidos acessíveis a intrusos no nível da rede.
O cabeçalho Strict-Transport-Security informa ao navegador que ele nunca deve carregar
o site usando HTTP. Em vez disso, use HTTPS. Depois de definido, o navegador usará
HTTPS em vez de HTTP para acessar o domínio sem um redirecionamento por um período
definido no cabeçalho.
Exemplo de uso
Strict-Transport-Security: max-age=31536000
Usos recomendados
Todos os sites que fazem a transição de HTTP para HTTPS devem responder com uma
Cabeçalho Strict-Transport-Security quando uma solicitação com HTTP é recebida.
Strict-Transport-Security: max-age=31536000
Navegadores compatíveis