Aplicando Cabeçalhos de Segurança a App Builder
Cabeçalhos de segurança atuam como instruções para aplicativos da web em termos de como o navegador da web usado para exibir o aplicativo deve implementar defesas de segurança. Ter cabeçalhos de segurança configurados e devidamente instalados ajuda a reforçar a segurança geral e a evitar vulnerabilidades. Como prática recomendada, é altamente recomendável que os cabeçalhos de segurança sejam configurados para qualquer App Builder aplicativo sendo usado em produção.
Exemplos específicos de vulnerabilidades que os cabeçalhos de segurança podem ajudar a prevenir incluem: clickjacking, cross-site scripting e injeção de vCode.
Para Configurar Cabeçalhos de Segurança
Se App Builder é o único aplicativo hospedado pelo Microsoft IIS, então essas alterações podem ser feitas em todo o site. Se outros aplicativos forem hospedados pelo IIS, essas alterações precisam ser feitas para App Builder especificamente. Se feito para App Builder especificamente, essas alterações de configuração precisarão ser reconfiguradas a qualquer momento App Builder é atualizado.
- Abra o IIS Manager
- Selecione o Site para o qual deseja habilitar os cabeçalhos de segurança
- Clique no ícone HTTP Response Headers
- Clique em Add em Actions
-
Insira o Name e o Value correspondente para cada um dos seguintes registros:
Name Value Content-Security-Policy frame-ancestors 'self' Strict-Transport-Security max-age=86400 X-Content-Type-Options nosniff X-FRAME-OPTIONS DENY X-XSS-Protection 1; mode=block -
Clique em OK após cada registro adicionado
Verifique a Configuração
Após as informações do cabeçalho de segurança terem sido configuradas, verifique para garantir que estejam funcionando conforme o esperado. Para verificar, reinicie o IIS e use as informações da aba Ferramentas do desenvolvedor > Rede do navegador Chrome para verificar se os cabeçalhos apropriados estão sendo retornados.
Aqui está um exemplo ilustrando as informações corretas:
