Skip to main content

Configuração suportada do ponto de extremidade

Cabeçalhos de segurança

Cabeçalhos de segurança são cabeçalhos de resposta HTTP que podem ser usados para aumentar a segurança do seu aplicativo. Em outras palavras, esses cabeçalhos instruem o navegador da Web a ativar um conjunto de precauções de segurança que protegem seu site contra ataques.

Cabeçalhos compatíveis

Strict-Transport-Security

Strict Transport Security é uma política de segurança da Web que ajuda a proteger sites contra ataques de downgrade de protocolo e sequestro de cookies. Essa política permite que os servidores da Web interajam usando conexões HTTPS seguras e nunca via protocolo HTTP inseguro.

X-Frame-Options

O cabeçalho X-Frame-Options melhora a proteção de aplicativos da web contra clickjacking. Isso desativa os iframes presentes no site e não permite que outras pessoas incorporem seu conteúdo.

X-XSS-Protection

O X-XSS-Protection permite que os desenvolvedores alterem o comportamento dos filtros de segurança de script entre sites. Esses filtros identificam entradas HTML inseguras e impedem o carregamento do site ou removem scripts potencialmente maliciosos.

X-Content-Type-Options

Esse cabeçalho geralmente é usado para controlar a função de detecção do tipo MIME em navegadores da web. Se o cabeçalho do tipo de conteúdo estiver em branco ou ausente, o navegador identificará o conteúdo e tentará exibir a fonte de maneira apropriada.

Política de segurança de conteúdo

Esse cabeçalho fornece uma camada extra de segurança contra várias vulnerabilidades, como XSS, clickjacking, downgrade de protocolo e injeção de quadros. Se ativado, isso tem um impacto significativo na maneira como os navegadores processam as páginas.

X-Permitted-Cross-Domain-Policies

Um arquivo de política entre domínios é um documento XML que concede a um cliente da Web, como Adobe Flash Player ou Adobe Acrobat, permissão para manipular dados entre domínios.

Referrer-Policy

O cabeçalho Referrer-Policy rege quais informações do referenciador, enviadas no cabeçalho Referrer, devem ser incluídas nas solicitações feitas. Este cabeçalho de segurança pode ser incluído na comunicação do servidor do site para um cliente.

Política de recursos

O cabeçalho da Política de recursos fornece um mecanismo para permitir e negar o uso de recursos do navegador e APIs em seu próprio quadro.

Access-Control-Allow-Origin

O cabeçalho Access-Control-Allow-Origin está incluído na resposta de um site a uma solicitação originada de outro site. Ele também identifica a origem permitida da solicitação.

Expect-CT

Esse é um cabeçalho do tipo resposta que impede o uso de certificados emitidos incorretamente para um site e garante que eles não passem despercebidos.

Pinos de chave pública

Esse cabeçalho de resposta é um mecanismo de segurança que permite que sites HTTPS resistam à representação de invasores usando certificados emitidos incorretamente ou de outra forma fraudulenta.

Como os cabeçalhos afetam a classificação do servidor?

Por exemplo, o cabeçalho Strict-Transport-Security é classificado. A explicação segue:

Validação

Classificação do servidor

idade máxima < 10368000 (120 dias)

Em risco

idade máxima >= 10368000 e idade máxima < 31536000

Protegido

idade máxima >= 31536000 (1 ano)

Bastante protegido

Nota

O Strict-Transport-Security é classificado apenas se a solicitação for bem-sucedida (HTTP 200 OK).

Cabeçalhos de resposta HTTP

Os cabeçalhos de resposta HTTP possuem informações que incluem a data, tamanho e tipo de arquivo que o servidor da Web está enviando de volta ao navegador ao receber uma solicitação HTTP.

Todos os cabeçalhos recebidos na resposta HTTP estão disponíveis para análise.

Codificação

Para uma comunicação segura, o cliente TLS e o servidor precisam concordar com os algoritmos criptográficos e as chaves que ambos usam para conexão segura.

No entanto, existem combinações possíveis de várias opções. O TLS permite apenas certas combinações bem definidas dessas opções, conhecidas como conjuntos de cifras.

O Discovery identifica todos os conjuntos de criptografia suportados pelo servidor e os classifica nas categorias Insegura, Fraca e Segura, com base nas melhores práticas do setor.

Fraco

  • Cipher suite com AES com modo CBC

  • 3DES

Inseguro

  • RC4

  • Cipher de EXPORT

  • Ciphers usando MD5

  • Cipher tipo zero

  • Ciphers usando autenticação anônima

  • DES

Nota

A categoria “Seguro” inclui conjuntos de cifras recomendados que são seguros de usar.