T
security cors csp xss csrf web-dev

Cabeçalhos de Segurança Web e Ataques: CORS, CSP, XSS e CSRF

Proteja suas aplicações web contra ameaças comuns. Aprenda a implementar cabeçalhos de segurança como CSP e HSTS para se defender contra XSS e CSRF.

2026-04-11

Cabeçalhos de Segurança Web e Ataques Comuns: Um Guia Abrangente

Garantir a segurança de uma aplicação web moderna exige uma abordagem em várias camadas. Desde a camada de rede, onde os firewalls filtram o tráfego, até a camada de aplicação, onde os cabeçalhos de segurança instruem os navegadores sobre como se comportar, cada camada desempenha um papel crítico. Este guia explora as ferramentas e cabeçalhos essenciais que você precisa conhecer para se defender contra os ataques web mais comuns.

1. Defesa na Camada de Rede: Firewalls e Prevenção de Intrusões

A primeira linha de defesa geralmente está no nível do servidor. Ferramentas como firewalls e sistemas de prevenção de intrusões monitoram o tráfego de entrada e bloqueiam atores maliciosos antes mesmo que eles cheguem à sua aplicação.

Ferramentas de Firewall: iptables, nftables e ufw

  • iptables: A ferramenta tradicional de firewall do Linux para gerenciar filtragem de pacotes IPv4 e NAT. Ela usa "cadeias" e "regras" para decidir o que fazer com os pacotes recebidos.
  • nftables: O sucessor moderno do iptables, projetado para substituí-lo por uma sintaxe mais eficiente e flexível. Ele fornece uma estrutura unificada para IPv4 e IPv6.
  • ufw (Uncomplicated Firewall): Uma interface amigável para gerenciar iptables/nftables. É a ferramenta de configuração de firewall padrão para o Ubuntu e é perfeita para desenvolvedores que desejam regras simples e fáceis de gerenciar.

fail2ban

O fail2ban é um software de prevenção de intrusões que protege os servidores de ataques de força bruta. Ele verifica os arquivos de log em busca de tentativas repetidas de login com falha e atualiza as regras do firewall para "banir" os endereços IP por um período determinado.

2. Cabeçalhos de Segurança Web Essenciais

Cabeçalhos de segurança são cabeçalhos de resposta HTTP que informam ao navegador como lidar com o conteúdo do seu site. Eles são uma forma poderosa e de baixo custo para mitigar muitos tipos de ataques.

CSP (Content Security Policy)

O CSP é um dos cabeçalhos de segurança mais importantes. Ele permite especificar quais fontes de conteúdo (scripts, estilos, imagens) são confiáveis. Ao restringir de onde os scripts podem ser carregados, o CSP é a defesa primária contra XSS (Cross-Site Scripting).

HSTS (HTTP Strict Transport Security)

O HSTS informa ao navegador que o site deve ser acessado apenas via HTTPS. Isso evita ataques de "SSL stripping" e garante que toda a comunicação seja criptografada.

SRI (Subresource Integrity)

O SRI é um recurso de segurança que permite aos navegadores verificar se os recursos que eles buscam (por exemplo, de um CDN) são entregues sem manipulação inesperada. Ele usa um hash criptográfico para garantir a integridade do arquivo.

CORS (Cross-Origin Resource Sharing)

Embora não seja estritamente um "cabeçalho de segurança" no sentido de adicionar um bloqueio, o CORS é um mecanismo que permite que recursos restritos em uma página web sejam solicitados de outro domínio fora do domínio do qual o primeiro recurso foi servido. Configurar o CORS corretamente é vital para evitar o acesso não autorizado aos dados.

3. Compreendendo e Mitigando Ataques Comuns

XSS (Cross-Site Scripting)

O XSS ocorre quando um invasor injeta scripts maliciosos em um site confiável. Isso pode ser usado para roubar cookies, tokens de sessão ou informações confidenciais.

  • Defesa: Use CSP, sanitize a entrada do usuário e codifique os dados antes de renderizá-los no navegador.

CSRF (Cross-Site Request Forgery)

O CSRF é um ataque que força um usuário autenticado a executar ações indesejadas em uma aplicação web na qual ele está autenticado no momento.

  • Defesa: Use tokens anti-CSRF, atributos de cookies SameSite e verifique os cabeçalhos Origin ou Referer.

SSRF (Server-Side Request Forgery)

Em um ataque SSRF, o invasor pode abusar da funcionalidade no servidor para ler ou atualizar recursos internos. O invasor pode fornecer uma URL para a qual a aplicação do lado do servidor fará uma solicitação.

  • Defesa: Valide as URLs fornecidas pelo usuário, use listas de permissão para solicitações de saída e restrinja o acesso à rede interna a partir do servidor da aplicação.

Conclusão

A segurança web é um processo contínuo de melhoria e monitoramento. Ao combinar ferramentas robustas de nível de rede como ufw e fail2ban com cabeçalhos fortes de nível de aplicação como CSP e HSTS, você pode reduzir significativamente a superfície de ataque de suas aplicações. Mantenha-se informado, mantenha suas ferramentas atualizadas e sempre priorize a segurança dos dados de seus usuários.

Voltar ao blog