Ir para o conteúdo

Política de Security Headers e CSP (Cloudflare)

Objetivo

Definir baseline de hardening HTTP para web e api com aplicação no edge (Cloudflare), de forma versionada e auditável.

Data de referência: 2026-03-08

Escopo

  • https://www.billings-ease.com.br/*
  • https://api.billings-ease.com.br/*

Headers obrigatórios

Comuns (web e api)

  • Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: camera=(), microphone=(), geolocation=()
  • Content-Security-Policy
  • X-Frame-Options: DENY (ou equivalente via frame-ancestors 'none')

API (api)

  • X-Frame-Options: DENY
  • CSP opcional para API (não obrigatório se API não renderiza HTML)

CSP baseline (web)

Content-Security-Policy:
default-src 'self';
script-src 'self';
connect-src 'self' https://api.billings-ease.com.br;
img-src 'self' data:;
style-src 'self' 'unsafe-inline';
font-src 'self' https://fonts.gstatic.com;
frame-ancestors 'none';
base-uri 'self';
form-action 'self'

Observação: - o frontend usa fontes do Google; por isso font-src permite fonts.gstatic.com. - após estabilização, evoluir para redução de permissões e remoção de exceções.

Estratégia de rollout

  1. Aplicar em staging com coleta de erros de carregamento.
  2. Validar fluxos críticos: login, dashboard, upload, OAuth callback.
  3. Promover para produção em janela controlada.
  4. Monitorar erros de frontend e métricas de falha por 24h.

Estratégia de rollback

  1. Reverter regra de header no edge para último baseline estável.
  2. Manter HSTS e nosniff ativos.
  3. Registrar incidente e causa raiz.

Validação operacional

Comando rápido

curl -sSI https://www.billings-ease.com.br | sed -n '1,80p'
curl -sSI https://api.billings-ease.com.br | sed -n '1,80p'

Checklist de aceite

  • headers obrigatórios presentes nos dois domínios;
  • CSP presente no domínio web;
  • X-Frame-Options presente;
  • sem regressão funcional nas rotas principais;
  • sem violações CSP críticas no console para fluxos críticos.

Referências internas

  • docs/01-arquitetura/governanca/security-review-saas.md
  • docs/01-arquitetura/governanca/security-roadmap.md
  • security_check.sh