Skip to main content

Segurança nos Headers | Solyd One

  • Segurança nos Headers | Solyd One
info

Cookies, Sessions e JWT Video explicativo

X-Frame-Options

  • Esse header evita que nosso site seja renderizado pelo iframe
X-Frame-Options = "DENY"

Cookies - HTTP ONLY

  • Quando trabalhamos com cookie, devemos setar ao cookie a opção http-only=true. Isso faz com que o navegador não consiga acessar esses cookies evitando o ataque. O ataque acontece quando o atacante consegue rodar por exemplo um alert(document.cookies) por meio de algum parâmetro na URL que renderiza html

Exemplo de ataque

http://127.0.0.1:5000/test?nome=luiz<script>alert(document.cookie)</script>

CSP - Content Security Policy

  • Bloqueia a execução de script no site
Content-Security-Policy = "script-src 'none'"

Exemplo de ataque

http://127.0.0.1:5000/test?nome=luiz<script>alert(document.cookie)</script>

Access-Control-Allow-Origin

  • Evita de a requisição ser feita de algum domínio não autorizado
Access-Control-Allow-Origin = "*"

Exemplo de ataque

alt text

  • Na imagem mostra eu dentro do site do OWASP e fazendo uma request pelo console para o localhost:5000 que era o site alvo.

Access-Control-Allow-Credentials

  • O cabeçalho Access-Control-Allow-Credentials faz parte do mecanismo de CORS (Cross-Origin Resource Sharing) e serve para indicar ao navegador se ele pode enviar e expor credenciais (como cookies, cabeçalhos de autenticação, tokens HTTP etc.) em requisições feitas de um domínio diferente do servidor.
Access-Control-Allow-Credentials = "true/false"
  • Access-Control-Allow-Credentials: true → o navegador pode incluir credenciais nas requisições cross-origin.
  • (se ausente ou false) → o navegador não enviará cookies/autorização ao servidor em requisições de outros domínios.