AISeenTry Free
Try Free
Voltar ao blog
SecurityHeadersOWASP

Headers de segurança HTTP: o guia completo 2026

Headers de segurança ausentes são uma das vulnerabilidades mais comuns em sites. Aprenda o que cada header faz, por que importa e como adicioná-lo em menos de 5 minutos.

A
Equipe AISeen
··8 min read

Os headers de segurança HTTP são configurações de servidor de uma linha que instruem os navegadores sobre como lidar com o conteúdo do seu site. Eles previnem uma ampla gama de ataques — do clickjacking ao cross-site scripting — sem exigir mudanças no código da sua aplicação.

Os seis headers críticos

1. Content-Security-Policy (CSP)

O CSP é o header mais poderoso para prevenir ataques XSS. Ele define uma lista de permissões de fontes das quais scripts, estilos e outros recursos podem ser carregados.

Comece com uma política de apenas relatório para auditar violações antes de aplicá-las:

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-violations

2. Strict-Transport-Security (HSTS)

O HSTS força os navegadores a usar HTTPS para todas as solicitações futuras ao seu domínio, mesmo se o usuário digitar http://.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

3. X-Frame-Options / frame-ancestors

Previne que suas páginas sejam incorporadas em iframes em outros sites (clickjacking). A diretiva CSP moderna frame-ancestors substitui o header antigo X-Frame-Options.

4. X-Content-Type-Options

Para o MIME-sniffing do navegador. Uma linha, proteção máxima:

X-Content-Type-Options: nosniff

5. Referrer-Policy

Controla quanta informação de referrer é incluída em solicitações de saída. strict-origin-when-cross-origin é o padrão recomendado.

6. Permissions-Policy

Restringe o acesso a APIs do navegador (câmera, microfone, geolocalização). Mesmo que você não use essas APIs, restringi-las impede que scripts de terceiros as abusem.

Como o AISeen verifica seus headers

O AISeen Security Score audita os seis headers críticos mais a configuração HTTPS, flags de cookies e vazamentos de informação (divulgação da versão do servidor nos headers de resposta).

Frequently Asked Questions

Como adiciono headers de segurança no Next.js?
Adicione uma função headers() ao next.config.js. A função retorna um array de objetos de header, cada um com um padrão de fonte e um array de pares {key, value}. Deployments no Vercel também suportam adicionar headers via vercel.json.
Adicionar um CSP vai quebrar meu site?
Um CSP estrito pode bloquear scripts e estilos inline. Use primeiro Content-Security-Policy-Report-Only para monitorar violações em produção sem quebrar nada, depois restrinja a política incrementalmente.
O que o AISeen Security Score considera crítico?
Presença de HTTPS, HSTS e X-Content-Type-Options são marcados como Críticos. CSP, X-Frame-Options e Permissions-Policy são Alto. Vazamentos de informação (divulgação de header do servidor) são Médio.

Check your site's scores now

SEO, GEO, Security, Speed & more — free audit in under 30 seconds.

Audit your site free →

Related articles

GEO

O que é o GEO Score e por que importa em 2026

·5 min read
Speed

Lista de verificação de Core Web Vitals: otimização de velocidade em 2026

·7 min read