Neste artigo
O que são cabeçalhos de segurança HTTP?
Cabeçalhos de segurança HTTP são cabeçalhos de resposta que instruem os navegadores sobre como lidar com o conteúdo do seu site. Formam uma camada crítica de defesa contra ataques como XSS, clickjacking e downgrade de protocolo.
Fazem parte da resposta HTTP do servidor. Não custam nada, não exigem alterações de código e protegem todos os visitantes. O OWASP recomenda sua implementação em cada site de produção.
Como funcionam os cabeçalhos de segurança HTTP
Cada cabeçalho controla um aspecto específico do comportamento do navegador, criando múltiplas camadas de proteção.
- Content-Security-Policy (CSP) — define fontes confiáveis para scripts, estilos e imagens, prevenindo XSS
- Strict-Transport-Security (HSTS) — força navegadores a usar HTTPS, prevenindo ataques de downgrade
- X-Frame-Options e X-Content-Type-Options — previnem clickjacking e MIME-sniffing
Experimente gratuitamente — sem cadastro
Gere cabeçalhos de segurança →Quando configurar cabeçalhos de segurança
Cabeçalhos de segurança devem ser configurados em cada site de produção.
- Prevenção de ataques XSS — CSP é a defesa mais eficaz a nível de navegador
- Aplicação de HTTPS — HSTS com preload garante HTTPS mesmo na primeira visita
- Requisitos de conformidade — PCI DSS, SOC 2 e HIPAA exigem cabeçalhos de segurança
Perguntas frequentes
O que é o modo report-only do CSP?
Content-Security-Policy-Report-Only envia relatórios de violação sem bloquear recursos. Permite testar uma nova política CSP em produção.
Como funciona o HSTS preload?
HSTS preload é uma lista de fabricantes de navegadores que força acesso HTTPS para domínios listados. Requisitos: cabeçalho HSTS com max-age mínimo de um ano, includeSubDomains e diretiva preload.
Como testar meus cabeçalhos de segurança?
Use ferramentas como securityheaders.com ou Mozilla Observatory. Também pode inspecionar cabeçalhos no DevTools do navegador na aba Rede.