{"id":238,"date":"2022-04-24T15:45:38","date_gmt":"2022-04-24T18:45:38","guid":{"rendered":"https:\/\/kangaroo.host\/blog\/seguranca-o-que-sao-headers-http\/"},"modified":"2026-04-08T10:30:13","modified_gmt":"2026-04-08T13:30:13","slug":"seguranca-o-que-sao-headers-http","status":"publish","type":"post","link":"https:\/\/kangaroo.host\/blog\/seguranca-o-que-sao-headers-http\/","title":{"rendered":"Headers HTTP: 3 formas de proteger seu site com eles"},"content":{"rendered":"

Voc\u00ea sabe o que s\u00e3o Headers de seguran\u00e7a? N\u00e3o?<\/p>\n

Mas, provavelmente, voc\u00ea sabe que proteger um site pode ir muito al\u00e9m do que se imagina. Ao pensar que diversos neg\u00f3cios constantemente nascem no meio digital, a seguran\u00e7a da informa\u00e7\u00e3o \u00e9 cada vez mais indispens\u00e1vel<\/strong> para a manuten\u00e7\u00e3o da privacidade, como tamb\u00e9m pode ajudar a evitar grandes preju\u00edzos para esses neg\u00f3cios.<\/p>\n

Ter um site seguro, como mostramos no artigo de seguran\u00e7a para WordPress<\/a>, nem sempre \u00e9 uma tarefa simples, mas traz imensos benef\u00edcios ao site, al\u00e9m de ajudar a evitar in\u00fameros problemas. Pensando nisso, iremos abordar os cabe\u00e7alhos (os headers, do ingl\u00eas) do HTTP.<\/p>\n

Esse \u00e9 um assunto n\u00e3o muito abordado, mas de suma import\u00e2ncia para a seguran\u00e7a de seu site<\/strong>. De forma resumida, os cabe\u00e7alhos servem para definir par\u00e2metros da comunica\u00e7\u00e3o do servidor web (a hospedagem do site) com o cliente (a pessoa que acessa o site).<\/p>\n

Vale ressaltar que, neste artigo, n\u00e3o ser\u00e1 poss\u00edvel ir muito fundo no conceito dessa aplica\u00e7\u00e3o em si, tomaremos mais aplica\u00e7\u00e3o pr\u00e1tica dessa fun\u00e7\u00e3o e, especificamente, sobre os que mais ajudam em quest\u00f5es de seguran\u00e7a.<\/p>\n

Acompanhe os pr\u00f3ximos t\u00f3picos para entender melhor como isso pode influenciar nos aspectos de seguran\u00e7a.<\/p>\n

Sum\u00e1rio<\/h3>\n
    \n
  1. O que s\u00e3o os headers<\/a><\/li>\n
  2. Por que utilizar?<\/a><\/li>\n
  3. Os principais cabe\u00e7alhos de seguran\u00e7a<\/a><\/li>\n
  4. Como configurar os cabe\u00e7alhos em seu site<\/a><\/li>\n
  5. Conclus\u00e3o<\/a><\/li>\n<\/ol>\n

    O que s\u00e3o os headers<\/h2>\n

    \"O<\/p>\n

    Em s\u00edntese, os cabe\u00e7alhos manipulam a solicita\u00e7\u00e3o e entrega de informa\u00e7\u00f5es<\/strong> entre o servidor e usu\u00e1rio, atrav\u00e9s dos headers de solicita\u00e7\u00e3o (request) e de resposta (response). Os cabe\u00e7alhos possuem quatro tipos, s\u00e3o eles: de solicita\u00e7\u00e3o, de resposta, geral e de entidade.<\/p>\n

    Cada tipo conta com suas particularidades, mas que ainda n\u00e3o ser\u00e3o abordadas completamente por aqui.<\/p>\n

    Eles podem, entre muitas outras coisas, informar o status da p\u00e1gina (como em erros 404 e 500), definir e orientar par\u00e2metros de cache e transferir informa\u00e7\u00f5es sobre tipos MIME.<\/p>\n

    Por que utilizar os headers?<\/h2>\n

    Os headers de seguran\u00e7a podem ser grandes aliados para impedir diferentes tipos de golpes a fraudes em seu site. Podem, por exemplo ajudar a validar o uso de SSL e TLS, proteger o site contra inje\u00e7\u00e3o de scripts externos maliciosos e contra clickjacking, inseridos em tags semelhantes \u00e0 <iframe>.<\/p>\n

    Com isso, pode-se evitar que a\u00e7\u00f5es indesejadas ocorram no meio desse processo de troca de informa\u00e7\u00f5es, impedido eventuais brechas de seguran\u00e7a, como ataques de for\u00e7a bruta (brute force), por exemplo.<\/p>\n

    As vulnerabilidades causadas pela n\u00e3o configura\u00e7\u00e3o dos cabe\u00e7alhos podem, entre outras coisas, levar o usu\u00e1rio a executar a\u00e7\u00f5es na p\u00e1gina que, na verdade, s\u00e3o executadas em um ambiente malicioso, totalmente manipulado por um usu\u00e1rio mal intencionado.<\/p>\n

    Os principais cabe\u00e7alhos de seguran\u00e7a<\/h2>\n

    \"Os<\/p>\n

    HTTP Strict Transport Security (HSTS)<\/strong><\/h3>\n

    Dispon\u00edvel apenas para aplica\u00e7\u00f5es que utilizam integralmente o protocolo HTTPS, \u00e9 respons\u00e1vel pela implementa\u00e7\u00e3o de criptografia, por SSL e\/ou TLS, sem que haja alguma informa\u00e7\u00e3o sendo carregada a partir do protocolo HTTP. Al\u00e9m disso, executa verifica\u00e7\u00f5es do Certificado de Seguran\u00e7a, o SSL.<\/p>\n

    Uma vez que o SSL\/TLS se faz obrigat\u00f3rio, toda a informa\u00e7\u00e3o trocada entre o servidor e o cliente \u00e9 criptografada, reduzindo a chance de ser interceptada e decifrada no trajeto, tornando o processo muito mais seguro.<\/p>\n

    Sendo um dos cabe\u00e7alhos mais importantes, h\u00e1 um meio de verificar o status de seu site em rela\u00e7\u00e3o ao HSTS. Para isso, voc\u00ea poder\u00e1 acessar o site da HSTS Preload<\/a>, que ir\u00e1 informar como seu site est\u00e1 e ainda fornecer alguns par\u00e2metros para a configura\u00e7\u00e3o.<\/p>\n

    Prote\u00e7\u00e3o X-XSS<\/strong><\/h3>\n

    A principal fun\u00e7\u00e3o desse cabe\u00e7alho \u00e9 impedir scripts maliciosos <\/strong>de serem executados em sua p\u00e1gina a partir de outros sites, o que \u00e9 chamado de Cross-Site Scripting, ou XSS.<\/p>\n

    Esse tipo de vulnerabilidade consiste em um agente mal intencionado adicionar algum tipo de script malicioso em uma p\u00e1gina, manipulando o conte\u00fado em favor dele.<\/p>\n

    O problema do XSS pode ser, por exemplo, uma p\u00e1gina de login manipulada, que envia as informa\u00e7\u00f5es, roubando dados de clientes que deveriam ser encaminhados para o seu site<\/p>\n

    X-Frame-Options<\/strong><\/h3>\n

    De forma muito semelhante ao X-XSS, sua fun\u00e7\u00e3o \u00e9 bloquear a renderiza\u00e7\u00e3o de conte\u00fados externos, contidos em tags como: <object>, <frame> e <iframe>. Esse cabe\u00e7alho ajuda a proteger contra ataques do tipo Clickjacking.<\/p>\n

    O Clickjacking \u00e9, basicamente, uma fraude que pode levar a informa\u00e7\u00f5es que n\u00e3o deveriam ser acessadas. Essa t\u00e9cnica consiste em enganar o usu\u00e1rio, fazendo com que ele clique em algo que, na verdade, n\u00e3o \u00e9 aquilo que parece. Dessa forma, as a\u00e7\u00f5es s\u00e3o controladas e executadas de acordo com o que quem instaurou essa fraude desejar fazer.<\/p>\n

    X-Content-Type-Options<\/strong><\/h3>\n

    Esse header \u00e9 muito interessante e, claro, extremamente \u00fatil. Atrav\u00e9s dela, \u00e9 poss\u00edvel fazer com que os conte\u00fados enviados ao site por meio de upload, por exemplo, n\u00e3o tenham seu conte\u00fado executado em forma de c\u00f3digo. Ele informa ao servidor que os tipos MIME n\u00e3o t\u00eam de ser seguidos e alterados.<\/p>\n

    Com esse cabe\u00e7alho desativado, seria poss\u00edvel injetar qualquer tipo de c\u00f3digo em um site simplesmente enviando um arquivo para ele, podendo tomar o controle e executar as a\u00e7\u00f5es que bem entendesse.<\/p>\n

    Como configurar os headers de seguran\u00e7a<\/h2>\n

    Configurando via htaccess<\/h3>\n

    A maneira mais efetiva e generalista de adicionar os cabe\u00e7alhos \u00e9 atrav\u00e9s do arquivo .htaccess, que fica localizado no diret\u00f3rio raiz onde seu site estiver localizado.<\/p>\n

    Todo o procedimento \u00e9 extremamente simples, e pode ser feito utilizando um editor de texto de sua prefer\u00eancia. Para fazer isso, basta adicionar todo o c\u00f3digo abaixo dentro de seu arquivo .htaccess.<\/p>\n

    <ifModule mod_headers.c><\/p>\n

    Header set Strict-Transport-Security “max-age=31536000” env=HTTPS<\/p>\n

    Header set X-XSS-Protection “1; mode=block”<\/p>\n

    Header set X-Content-Type-Options nosniff<\/p>\n

    Header set X-Frame-Options DENY<\/p>\n

    <\/ifModule><\/p><\/blockquote>\n

    No caso de n\u00e3o existir este arquivo, voc\u00ea poder\u00e1 cri\u00e1-lo e adicionar todo o c\u00f3digo acima. Lembre-se que esse arquivo \u00e9 de m\u00e1xima import\u00e2ncia e deve ter permiss\u00f5es restritas. Se poss\u00edvel, mantenha as permiss\u00f5es deste arquivo em 400, ou 644 caso seu site realize atualiza\u00e7\u00f5es constantes no htaccess.<\/p>\n

    Entendendo os par\u00e2metros<\/strong><\/h3>\n

    Em Strict-Transport-Security<\/em>, a diretiva max-age define o tempo, em segundos, que o navegador ter\u00e1 uma esp\u00e9cie de cache, uma mem\u00f3ria de que esse site tem abertura assegurada atrav\u00e9s do HTTPS. \u00c9 poss\u00edvel, ainda, adicionar um complemento para que o site inclua subdom\u00ednios nesta mesma diretiva, exemplo: Strict-Transport-Security: max-age=16070400; includeSubDomains<\/p>\n

    Em X-XSS-Protection, o valor 1 serve para informar que esse cabe\u00e7alho est\u00e1 ativo, enquanto o \u201cblock\u201d fica encarregado de impedir o conte\u00fado.<\/p>\n

    J\u00e1 no X-Content-Type-Options, temos apenas o par\u00e2metro nosniff, que \u00e9 respons\u00e1vel por orientar o navegador do usu\u00e1rio an\u00e3o analisar o conte\u00fado.<\/p>\n

    O X-Frame-Options tamb\u00e9m tem apenas uma diretiva, o \u201cDENY\u201d que, como o nome sugere, impede que nenhum objeto externo seja carregado. Existem ainda, outras op\u00e7\u00f5es, como o SAMEORIGIN (que apenas carregar\u00e1 conte\u00fados de mesma origem, url) e a ALLOW-FROM, que carregar\u00e1 elementos de um URL espec\u00edfico.<\/p>\n

    Configurando via Plugins no WordPress<\/h3>\n

    Sendo utilizado pela maioria dos sites em toda a internet, o WordPress<\/a> n\u00e3o poderia ficar de fora da nossa lista, e o processo de configura\u00e7\u00e3o dos cabe\u00e7alhos nele tamb\u00e9m \u00e9 bem simples.<\/p>\n

    Antes de tudo, \u00e9 necess\u00e1rio dizer que o procedimento de configura\u00e7\u00e3o atrav\u00e9s do htaccess \u00e9 igualmente v\u00e1lido para o WP. A etapa a seguir, que faremos atrav\u00e9s de um plugin, \u00e9 apenas para facilita\u00e7\u00e3o do processo.<\/p>\n

    Para configurar no WordPress, usaremos o plugin chamado HTTP Headers<\/a>, que possui uma gama imensa de op\u00e7\u00f5es de configura\u00e7\u00e3o dos cabe\u00e7alhos.<\/p>\n

    \"Plugin<\/p>\n

    Uma vez instalado e ativo, siga os seguintes passos:<\/p>\n

      \n
    1. Com seu WP Admin aberto, navegue na barra lateral e encontre a guia \u201cConfigura\u00e7\u00f5es\u201d e, dentro dela, localize \u201cHTTP Headers\u201d. Feito isso, estaremos na aba de configura\u00e7\u00e3o do plugin;<\/li>\n
    2. Agora, encontre o tipo de cabe\u00e7alho que deseja adicionar. No nosso caso, focaremos nos de seguran\u00e7a e, por isso, escolheremos a op\u00e7\u00e3o \u201cSecurity\u201d;
      \n\"Painel<\/li>\n
    3. Abrindo, voc\u00ea ter\u00e1 uma lista que cont\u00e9m v\u00e1rias op\u00e7\u00f5es para poder adicionar e configurar como desejar;
      \n\"Lista<\/li>\n
    4. Primeiro, escolha o tipo de cabe\u00e7alho e clique em \u201cEdit\u201d. Para o exemplo, faremos com o X-Frame-Options;<\/li>\n
    5. Assim que abrir a p\u00e1gina de configura\u00e7\u00e3o, ser\u00e1 poss\u00edvel encontrar as op\u00e7\u00f5es de on e off, para ativar ou desativar. Ao lado, ser\u00e1 poss\u00edvel ver os par\u00e2metros espec\u00edficos de configura\u00e7\u00e3o dele, que tamb\u00e9m podem ser ajustados nessa mesma p\u00e1gina;
      \n\"Configurando<\/li>\n
    6. Configure da forma que achar mais adequada (de acordo com as orienta\u00e7\u00f5es sobre cada par\u00e2metro que informamos acima) e salve;<\/li>\n
    7. Agora, olhando nosso arquivo htaccess, podemos ver que o cabe\u00e7alho foi adicionado com sucesso.
      \n\"Cabe\u00e7alhos<\/li>\n<\/ol>\n

      Como ativar o HSTS pelo CloudFlare<\/h3>\n

      O CloudFlare<\/a> \u00e9 o CDN queridinho de muita gente, muito por conta de seu plano gratuito e pela grande quantidade de recursos oferecidos. Um deles, inclusive, \u00e9 a configura\u00e7\u00e3o do cabe\u00e7alho HSTS de forma extremamente simples<\/strong>, para configurar atrav\u00e9s dele, siga os seguintes passos:<\/p>\n

        \n
      1. Com sua conta do CloudFlare aberta, localize seu site e abra o painel dele;<\/li>\n
      2. Agora, localize a guia \u201cSSL\/TLS\u201d na barra lateral \u00e0 esquerda e clique em \u201cCertificados de borda\u201d;
        \n\"HSTS<\/li>\n
      3. Des\u00e7a um pouco a p\u00e1gina e busque pela op\u00e7\u00e3o \u201cHTTP Strict Transport Security (HSTS)\u201d. Quando encontrar, clique em \u201cHabilitar HSTS\u201d;
        \n\"Habilitar<\/li>\n
      4. Um pop-up se abrir\u00e1 informando algumas especifica\u00e7\u00f5es e orienta\u00e7\u00f5es. Leia tudo, para garantir que est\u00e1 tudo certo e clique em \u201cEntendo\u201d para confirmar e, depois, em \u201cPr\u00f3xima\u201d para avan\u00e7ar;<\/li>\n
      5. Agora que est\u00e1 na sess\u00e3o de configura\u00e7\u00e3o, voc\u00ea poder\u00e1 definir os par\u00e2metros como bem desejar. Novamente, a recomenda\u00e7\u00e3o \u00e9 ler as op\u00e7\u00f5es ajustar como for mais adequado ao seu caso;<\/li>\n
      6. \"Par\u00e2metros<\/li>\n
      7. Com tudo pronto, clique em \u201cSalvar\u201d e a configura\u00e7\u00e3o estar\u00e1 finalizada.
        \n\"HSTS<\/li>\n<\/ol>\n

        Conclus\u00e3o<\/h2>\n

        Chegando ao fim de mais um artigo sobre seguran\u00e7a, agora voc\u00ea pode finalmente dizer que possui um site mais seguro, e j\u00e1 sabe configurar diferentes tipos de cabe\u00e7alhos atrav\u00e9s de diversos meios. Utilizando-se das melhores t\u00e9cnicas de boas pr\u00e1ticas de prote\u00e7\u00e3o, fortalecendo a configura\u00e7\u00e3o de cabe\u00e7alhos e seguindo as dicas de Como proteger seu WordPress<\/a>, certamente a melhoria ser\u00e1 enorme nesse aspecto.<\/p>\n

        Caso deseje, o site da organiza\u00e7\u00e3o Mozilla disponibiliza uma vasta documenta\u00e7\u00e3o, na qual tamb\u00e9m \u00e9 falado um pouco sobre os cabe\u00e7alhos de seguran\u00e7a. Para conferir a lista completa, e em portugu\u00eas, basta clicar aqui<\/a>.<\/p>\n

        Ter seu site mais seguro \u00e9 extremamente importante para voc\u00ea e todos que o acessam, principalmente quando falamos daqueles que dependem totalmente de seus websites como fonte de renda, o que \u00e9 ainda mais acentuado quando se trata de lojas virtuais. Por isso, tente sempre seguir as recomenda\u00e7\u00f5es que listamos aqui e continue acompanhando nosso blog para mais conte\u00fados como este =)<\/p>\n","protected":false},"excerpt":{"rendered":"

        Voc\u00ea sabe o que s\u00e3o Headers de seguran\u00e7a? N\u00e3o? Mas, provavelmente, voc\u00ea sabe que proteger um site pode ir muito al\u00e9m do que se imagina. Ao pensar que diversos neg\u00f3cios constantemente nascem no meio digital, a seguran\u00e7a da informa\u00e7\u00e3o \u00e9 cada vez mais indispens\u00e1vel para a manuten\u00e7\u00e3o da privacidade, como tamb\u00e9m pode ajudar a evitar […]<\/p>\n","protected":false},"author":1,"featured_media":251,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[27,28,29,30,31,25,32],"class_list":["post-238","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca","tag-cabecalho","tag-headers","tag-o-que-e","tag-o-que-sao","tag-protecao","tag-seguranca","tag-site"],"_links":{"self":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/comments?post=238"}],"version-history":[{"count":1,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/238\/revisions"}],"predecessor-version":[{"id":2649,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/238\/revisions\/2649"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/media\/251"}],"wp:attachment":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/media?parent=238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/categories?post=238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/tags?post=238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}