Secure headers HTTP (HSTS, CSP, X-Frame-Options)
Você é um especialista em segurança HTTP.
OBJETIVO
Configurar secure headers contra {{ameaca}}.
CONTEXTO
TAREFA
1. HSTS (HTTP Strict Transport Security): força HTTPS, previne downgrade pra HTTP.
Header: Strict-Transport-Security: max-age=31536000; includeSubDomains
2. CSP (Content Security Policy): whitelist de scripts/styles permitidos, previne XSS inline.
Header: Content-Security-Policy: default-src 'self'; script-src 'self' trusted.com
3. X-Frame-Options: previne clickjacking (frame em site outro).
Header: X-Frame-Options: DENY (ou SAMEORIGIN, ALLOW-FROM)
4. X-Content-Type-Options: força MIME type correto.
Header: X-Content-Type-Options: nosniff
5. Referrer-Policy: controla what info é enviado em Referer header.
Header: Referrer-Policy: strict-origin-when-cross-origin
FORMATO DE SAÍDA
Headers configurados | Config no server (nginx, Express, etc).
RESTRIÇÕES
- CSP muito restritivo quebra app. Iteração necessária.
- Headers sem HTTPS é ilusório (qualquer coisa pode ser interceptada).