Segurança nos Headers | Solyd One
- Segurança nos Headers | Solyd One
info
Cookies, Sessions e JWT Video explicativo
X-Frame-Options
- Esse header evita que nosso site seja renderizado pelo iframe
X-Frame-Options = "DENY"
Cookies - HTTP ONLY
- Quando trabalhamos com cookie, devemos setar ao cookie a opção
http-only=true. Isso faz com que o navegador não consiga acessar esses cookies evitando o ataque. O ataque acontece quando o atacante consegue rodar por exemplo umalert(document.cookies)por meio de algum parâmetro na URL que renderiza html
Exemplo de ataque
http://127.0.0.1:5000/test?nome=luiz<script>alert(document.cookie)</script>
CSP - Content Security Policy
- Bloqueia a execução de script no site
Content-Security-Policy = "script-src 'none'"
Exemplo de ataque
http://127.0.0.1:5000/test?nome=luiz<script>alert(document.cookie)</script>
Access-Control-Allow-Origin
- Evita de a requisição ser feita de algum domínio não autorizado
Access-Control-Allow-Origin = "*"
Exemplo de ataque

- Na imagem mostra eu dentro do site do
OWASPe fazendo umarequestpelo console para olocalhost:5000que era o site alvo.
Access-Control-Allow-Credentials
- O cabeçalho Access-Control-Allow-Credentials faz parte do mecanismo de CORS (Cross-Origin Resource Sharing) e serve para indicar ao navegador se ele pode enviar e expor credenciais (como cookies, cabeçalhos de autenticação, tokens HTTP etc.) em requisições feitas de um domínio diferente do servidor.
Access-Control-Allow-Credentials = "true/false"
- Access-Control-Allow-Credentials: true → o navegador pode incluir credenciais nas requisições cross-origin.
- (se ausente ou false) → o navegador não enviará cookies/autorização ao servidor em requisições de outros domínios.