Headers de segurança ganharam importância
Muitos ataques contra sites acontecem no navegador do usuário. Um dos riscos mais conhecidos é XSS, quando um atacante consegue injetar script malicioso em uma página. Esse script pode roubar sessão, alterar conteúdo, capturar dados ou executar ações em nome do usuário. Content Security Policy, ou CSP, é um header HTTP criado para reduzir esse risco.
CSP permite definir quais fontes de scripts, estilos, imagens, fontes, iframes e conexões são permitidas. Se um script não autorizado tenta executar, o navegador pode bloquear. Isso não corrige falha no código, mas reduz o impacto de certas injeções.
Como CSP funciona
O servidor envia um header como Content-Security-Policy com diretivas. Por exemplo, você pode permitir scripts apenas do próprio domínio e de ferramentas específicas. Pode bloquear iframes desconhecidos, impedir carregamento de recursos inseguros e restringir conexões externas.
Em sites modernos, há muitas integrações: analytics, chat, pixel de anúncio, mapas, fontes, CDN e ferramentas de pagamento. A CSP precisa conhecer essas origens. Se você criar uma política rígida sem testar, pode quebrar funcionalidades legítimas.
Comece com modo de relatório
Uma forma segura de começar é usar Content-Security-Policy-Report-Only. Nesse modo, o navegador reporta violações, mas não bloqueia. Assim, você descobre quais recursos o site usa antes de ativar bloqueio. Depois de ajustar, muda para política efetiva.
Isso é especialmente útil em WordPress, lojas virtuais e sites com muitos plugins, porque scripts podem variar por página. Teste home, blog, contato, checkout, login e painel quando aplicável.
Evite liberar tudo
Uma CSP cheia de * e unsafe-inline perde boa parte do valor. Às vezes é necessário usar exceções, mas elas devem ser reduzidas com o tempo. Scripts inline podem ser substituídos por arquivos externos, nonce ou hash, dependendo da arquitetura.
O objetivo é criar uma política realista: segura o bastante para ajudar, compatível o bastante para não quebrar o negócio. Segurança que impede venda, formulário ou pagamento precisa ser ajustada.
Onde configurar
CSP pode ser configurada no Nginx, Apache, aplicação, CDN ou WAF. Em VPS, você tem controle para aplicar no servidor web. Em Servidor Dedicado, a mesma lógica vale, com atenção para múltiplos sites e subdomínios.
Consulte a documentação da MDN sobre CSP para entender diretivas e exemplos.
Conclusão
Content Security Policy é uma camada importante contra XSS e carregamento indevido de recursos. Comece em modo de relatório, mapeie integrações, reduza permissões amplas e teste páginas críticas. CSP não substitui validação e código seguro, mas fortalece bastante a defesa do navegador.
Nenhum comentário ainda. Seja o primeiro a comentar!