...
Atributo | Valores possíveis | Descrição | Referência |
---|---|---|---|
X-Content-Type-Options | nosniff | Para evitar o sniffing do tipo MIME, você pode adicionar o cabeçalho X-Content-Type-Options. | X-Content-Type-Options - HTTP | MDN |
X-Xss-Protection | 0 1 0; mode=block | O X-Xss-Protection é um recurso implementado no navegador mais moderno, que interrompe o carregamento da página quando um ataque de script entre sites é detectado. | |
X-Frame-Options | X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM https://example.com/ | O cabeçalho X-Frame-Options garante que os hackers não criem iframe para o seu site, a fim de induzi-lo a clicar em links que você nunca quis. | X-Frame-Options - HTTP | MDN |
Cache-Control | public private no-cache no-store max-age | A diretiva Cache-Control é usada para especificar como os caches devem se comportar ao armazenar uma resposta HTTP e como os navegadores devem tratar essa resposta | Cache-Control - HTTP | MDN |
Strict-Transport-Security | maxage=tempoEmSegundos includeSubDomains preload | É um mecanismo de política que ajuda a proteger sites contra ataques man-in-the-middle, como ataques de downgrade de protocolo e sequestro de cookies. | Segurança de Transporte Estrita - HTTP | MDN |
Cross-Origin-Embedder-Policy | require-corp unsafe-none | O cabeçalho de resposta HTTP Cross-Origin-Embedder-Policy é incluído pelo servidor para impedir que um documento acesse recursos entre origens que não o permitem explicitamente. | Cross-Origin-Embedder-Policy - HTTP | MDN |
Cross-Origin-Resource-Policy | same-origin same-site cross-origin | Cross-Origin Resource Policy é uma política definida pelo cabeçalho HTTP Cross-Origin-Resource-Policy que permite que sites e aplicativos optem pela proteção contra determinadas solicitações de outras origens. | Política de Recursos entre Origens (CORP) - HTTP | MDN |
Cross-Origin-Opener-Policy | same-origin same-origin-allow-popups unsafe-none | É um cabeçalho de segurança que controla como uma janela ou aba pode interagir com outras abas ou janelas em diferentes origens. Isso ajuda a proteger contra ataques de abertura de origem cruzada (Cross-Origin Window Opener Abuse), garantindo que janelas ou abas só possam ser abertas por scripts em seu próprio contexto de origem. | Cross-Origin-Opener-Policy - HTTP | MDN |
Permissions-Policy | camera microphone geolocation fullscreen storage-acess | A diretiva Permissions-Policy é um cabeçalho de segurança que permite que um site controle quais recursos e APIs estão disponíveis para uso no navegador. Isso ajuda a proteger a privacidade dos usuários, limitando o acesso a recursos sensíveis apenas a sites confiáveis. | Permissions-Policy - HTTP | MDN |
Referrer-Policy | no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin | A diretiva Referrer-Policy é um cabeçalho de segurança que controla como o cabeçalho Referer é incluído nas requisições HTTP. O cabeçalho Referer informa ao servidor de destino de onde veio o usuário, o que pode ser útil para fins de análise, mas também pode expor informações sensíveis, como URLs completas. | Referrer-Policy - HTTP | MDN |
Content Security Policy (CSP) | default-src script-src style-src img-src font-src frame-src frame-ancestors | A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados. | Content Security Policy (CSP) - HTTP | MDN |
Bloco de código | ||
---|---|---|
| ||
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
<add name="X-Xss-Protection" value="1; mode=block" />
<add name="X-Frame-Options" value="SAMEORIGIN" />
<add name="Cache-Control" value="no-store" />
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
<add name="Cross-Origin-Embedder-Policy" value="require-corp" />
<add name="Cross-Origin-Resource-Policy" value="same-origin" />
<add name="Cross-Origin-Opener-Policy" value="same-origin" />
<add name="Permissions-Policy" value="camera=(self), microphone=(self), geolocation=(self), fullscreen=(self), storage-access=(self)" />
<add name="Referrer-Policy" value="no-referrer-when-downgrade" />
<add name="Content-Security-Policy" value="default-src 'self';
script-src 'self' https://www.googletagmanager.com;
style-src 'self';
img-src 'self';
font-src 'self';
connect-src 'self';
frame-src 'self';
frame-ancestors 'self';" />
</customHeaders>
</httpProtocol> |
...