Headers de segurança
Os headers seguintes devem fazer parte do seu site, previnem a exploração de algumas vulnerabilidades e acrescentam uma camada de segurança à sua página ou aplicação WEB:
HTTP Strict-Transport-Security (HSTS)
Força o uso de SSL/TLS e impossibilita que a aplicação contenha conteúdo misto, ou seja, impede que transmita conteúdo em HTTP. Também verifica as características do certificado SSL e evitan ataques Man in the Middle (MitM). Só pode ser habilitado em aplicações 100% HTTPS.
Content Security Policy (CSP)
Implementa políticas que validam a renderização da página e protegem contra ataques de injeção de conteúdo como Cross-Site Scripting (XSS).
Deve-se estudar a aplicação de cada política configurada, para evitar a aplicação ou página WEB fique limitada ou incompleta.
A principal característica que pode provocar um mau funcionamento da aplicação ou página WEB é o bloqueio de javascript inline, quando existem javascripts no código da página.
X-Content-Type-Options
É um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos.
X-XSS-Protection
Informa navegadores atualizados que devem ser aplicado filtros anti-XSS.
Navegadores como Firefox e Chrome possuem ferramentas que filtram o conteúdo da página evitando ataques de Cross-Site Scripting (XSS).
X-Frame-Options
Impossibilita que o navegador renderize conteúdo externo em objetos DOM e, consequentemente protege a aplicação contra ataques de Clickjacking.
Seguinte