{"id":53001,"date":"2025-06-20T13:04:19","date_gmt":"2025-06-20T13:04:19","guid":{"rendered":"https:\/\/www.edgenexus.io\/nao-categorizado\/um-cabecalho-de-seguranca-http-para-combater-o-clickjacking-como-melhorar-a-seguranca-do-seu-site-com-o-cabecalho-de-opcoes-x-frame\/"},"modified":"2025-06-20T13:04:19","modified_gmt":"2025-06-20T13:04:19","slug":"um-cabecalho-de-seguranca-http-para-combater-o-clickjacking-como-melhorar-a-seguranca-do-seu-site-com-o-cabecalho-de-opcoes-x-frame","status":"publish","type":"post","link":"https:\/\/www.edgenexus.io\/pt-br\/blog-pt-br\/um-cabecalho-de-seguranca-http-para-combater-o-clickjacking-como-melhorar-a-seguranca-do-seu-site-com-o-cabecalho-de-opcoes-x-frame\/","title":{"rendered":"Um cabe\u00e7alho de seguran\u00e7a HTTP para combater o \u201cClickjacking\u201d – Como melhorar a seguran\u00e7a do seu site com o cabe\u00e7alho de op\u00e7\u00f5es X-Frame"},"content":{"rendered":"

 <\/p>\n

Talvez isso tenha chamado sua aten\u00e7\u00e3o ap\u00f3s um teste de penetra\u00e7\u00e3o de seguran\u00e7a ou talvez porque voc\u00ea esteja tentando impedir que algu\u00e9m sequestre seu site ou o cubra com an\u00fancios. De qualquer forma, \u00e9 recomend\u00e1vel que voc\u00ea sempre inclua o cabe\u00e7alho X-Frame-Options nas respostas do site para aumentar a seguran\u00e7a do site e oferecer alguma seguran\u00e7a aos visitantes. <\/p>\n

Esse cabe\u00e7alho especifica para o navegador como o seu site pode ser exibido em um quadro (ou iFrame). Um quadro permite que uma p\u00e1gina da Web exiba conte\u00fado de outro site dentro dela (geralmente de uma forma que n\u00e3o \u00e9 \u00f3bvia para o visualizador). Voc\u00ea pode achar que isso n\u00e3o \u00e9 um problema, afinal, trata-se de uma p\u00e1gina da Web p\u00fablica, mas nunca \u00e9 t\u00e3o simples assim. E se algu\u00e9m tiver registrado um erro ortogr\u00e1fico comum do seu nome de dom\u00ednio e estiver exibindo seu site nele, usando um iFrame? Eles poderiam estar sobrepondo an\u00fancios ou apresentando uma p\u00e1gina de login falsa e tudo pareceria totalmente aut\u00eantico, porque, bem, seria o conte\u00fado do seu site – apenas servido de outro lugar. N\u00e3o h\u00e1 maneira mais r\u00e1pida de perder a confian\u00e7a do cliente do que quando um agente mal-intencionado abusa desse recurso em benef\u00edcio pr\u00f3prio. H\u00e1 usos genu\u00ednos para os Frames, mas \u00e9 muito prov\u00e1vel que voc\u00ea n\u00e3o confie em nenhum deles. <\/p>\n

Definir o cabe\u00e7alho X-Frame-Options em todas as suas respostas \u00e9 uma maneira simples de evitar problemas desse tipo. H\u00e1 tr\u00eas valores poss\u00edveis: DENY, SAMEORIGIN e ALLOWFROM; <\/p>\n

-DENY impedir\u00e1 a exibi\u00e7\u00e3o do conte\u00fado do seu site em um quadro, mesmo que seja por outra p\u00e1gina do seu site. Isso geralmente \u00e9 aceit\u00e1vel, mas tem o h\u00e1bito de quebrar aplicativos baseados em Java. <\/p>\n

-SAMEORIGIN \u00e9 a configura\u00e7\u00e3o mais comumente usada e significa que as p\u00e1ginas do seu site podem ser inclu\u00eddas em Frames, mas somente em outras p\u00e1ginas do mesmo site.<\/p>\n

-ALLOWFROM \u00e9 bastante refinado e raramente usado – se for algo de que voc\u00ea precisa, provavelmente j\u00e1 sabe o que precisa fazer – caso contr\u00e1rio, entre em contato conosco.<\/p>\n

Como sempre dizemos, uma grande vantagem de usar um balanceador de carga \u00e9 que s\u00f3 precisamos fazer altera\u00e7\u00f5es em um \u00fanico local para implantar esse cabe\u00e7alho em todos os nossos servidores. N\u00e3o precisamos depender de desenvolvedores ou de reconfigura\u00e7\u00f5es do Apache. Basta importar um modelo de configura\u00e7\u00e3o do jetPACK e atribuir uma regra de tr\u00e1fego flightPATH ao(s) servi\u00e7o(s) virtual(is) que voc\u00ea deseja proteger. <\/p>\n

O flightPATH \u00e9 um mecanismo de regras din\u00e2mico e baseado em eventos desenvolvido pela edgeNEXUS para manipular e rotear de forma inteligente o tr\u00e1fego IP, HTTP e HTTPS com balanceamento de carga. Ele \u00e9 altamente configur\u00e1vel e poderoso, mas muito f\u00e1cil de usar. <\/p>\n

A regra s\u00f3 adiciona o cabe\u00e7alho se ele n\u00e3o existir, portanto, funcionar\u00e1 mesmo quando nossos servidores da Web j\u00e1 o inserirem ou o inserirem somente em p\u00e1ginas espec\u00edficas. Essa regra deve fazer parte da configura\u00e7\u00e3o padr\u00e3o do Virtual Service – voc\u00ea n\u00e3o tem nada a perder, seja qual for o site, embora, \u00e9 claro, seja sempre recomend\u00e1vel fazer testes. Voc\u00ea pode fazer o download do jetPACK no site do Github da edgeNEXUS aqui<\/a>. <\/p>\n

Essa \u00e9 uma das muitas regras do flightPATH que desenvolvemos e que voc\u00ea pode implantar para aumentar a seguran\u00e7a do seu site e de seus usu\u00e1rios. Para saber mais sobre cabe\u00e7alhos HTTP relacionados \u00e0 seguran\u00e7a, confira estes artigos: <\/p>\n