Content Security Policy Header no AWS

Content Security Policy Header no AWS

Dentro do desenvolvimento web, uma das práticas mais comuns é buscar sempre a segurança de nossos usuários e, como em qualquer sistema de segurança, uma série de regras devem ser seguidas para realizar este trabalho corretamente.

Content Security Policy (CSP), que em português significa Política de Segurança de Conteúdo, é um cabeçalho HTTP usado para especificar fontes de conteúdo confiáveis ​​em um site. Ele fornece uma camada adicional de segurança, permitindo que os proprietários de sites controlem quais recursos são carregados e de quais fontes, reduzindo certos tipos de ataques.

Ao declarar nossos CSPs, definimos uma série de diretivas que informam ao navegador quais tipos de conteúdo são permitidos (como scripts, estilos, imagens, fontes, etc.) e de quais fontes eles podem ser carregados).

Esta é uma lista de motivos pelos quais você deve estabelecer seus CSPs:

  1. Prevenção de cliques maliciosos: Ao configurar o bloqueio de URL e a política de relatórios, o CSP pode ajudar a prevenir ataques de cliques maliciosos (clickjacking) que tentam induzir o usuário a selecionar elementos ocultos ou enganosos em uma página da web.
  2. Proteção contra upload de conteúdo não autorizado: O CSP permite que você especifique fontes de conteúdo permitidas, como scripts, imagens, estilos e fontes, o que ajuda a impedir o upload de conteúdo não autorizado ou de fontes não confiáveis.
  3. Proteção contra ataques de injeção de código: O CSP ajuda a mitigar ataques como injeção de script malicioso (XSS) e injeção de código HTML (XSS). Ao definir uma política apropriada, você limita a execução de scripts e outros tipos de conteúdo indesejado.
  4. Reduzindo o risco de ataques de injeção de dados: Ao limitar as fontes de dados permitidas e configurar políticas de carregamento de recursos, o CSP ajuda a evitar ataques de injeção de dados, como injeção de SQL e injeção de comando.
  5. Maior segurança do usuário final: Ao estabelecer uma política de segurança clara e precisa, você aumenta a segurança do usuário final, reduzindo ameaças potenciais que afetariam a integridade e a confidencialidade dos seus dados.

Lembre-se que implementar um CSP requer análise e ajustes cuidadosos para não interferir no funcionamento normal do seu site. É aconselhável consultar a documentação oficial e realizar testes extensivos antes de implantá-lo em produção.

CSP: Diretivas disponíveis

Aqui estão alguns deles:

  • default-src: Define a fonte de conteúdo padrão para recursos que não são especificados explicitamente em outras políticas.
  • script-src: Especifica as fontes permitidas para carregamento de script.
  • style-src: Indica as fontes permitidas para carregar folhas de estilo.
  • img-src: Define as fontes permitidas para uploads de imagens.
  • font-src: Especifica as fontes permitidas para carregamento de fontes.
  • connect-src: Indica as fontes permitidas para conexões de rede.
  • frame-src: Define as fontes permitidas para carregar frames ou iframes.
  • media-src: Especifica as fontes permitidas para upload de conteúdo de mídia, como áudio ou vídeo.
  • object-src: Indica as fontes permitidas para carregar objetos incorporados.


Implementando CSP na Amazon Web Services (AWS)


1) Faça login no console AWS e navegue até o serviço que você usa para hospedar seu site, como Amazon S3, AWS CloudFront ou AWS Elastic Beanstalk. Neste exercício, faremos o exemplo com Cloudfront.


2) Dentro do serviço selecionado, procure configurações relacionadas ao layout ou ambiente do seu site. Isso pode variar dependendo do serviço específico.


3) Vá para as configurações de segurança ou seção de cabeçalhos HTTP.


4) Nas configurações do cabeçalho HTTP, escolha a opção de adicionar ou modificar cabeçalhos personalizados.

5) Você pode adicionar um novo CSP nesta seção:

Importante: Antes de implementar um CSP em produção, é recomendável realizar testes extensivos para garantir que ele não impacte negativamente o funcionamento normal do seu site e que todas as fontes de conteúdo necessárias sejam permitidas conforme o esperado.

Resumindo, a Política de Segurança de Conteúdo é uma medida de segurança que permite aos proprietários de sites controlar qual conteúdo pode ser carregado. Nosso dever é fornecer um ambiente saudável e correto para nossos usuários.

Espero que este guia seja útil para você, proprietário de um site.

Até logo!

💡
As opiniões e comentários expressos neste artigo são de propriedade exclusiva de seu autor e não representam necessariamente o ponto de vista da Revelo.

A Revelo Content Network acolhe todas as raças, etnias, nacionalidades, credos, gêneros, orientações, pontos de vista e ideologias, desde que promovam diversidade, equidade, inclusão e crescimento na carreira dos profissionais de tecnologia.