14-16 Mar 2026
Voltar ao Plano

Adicionar security headers no nginx do frontend (INFRA-16)

ACT-6.3.4
Varredura MedioMediaEsforco: PComplexidade: MediaParalelizavel
Por que e urgente

Frontend sem headers de seguranca exposto a vetores de clickjacking, XSS e downgrade attack

Risco de nao fazer

Vetores de clickjacking, XSS e downgrade attack nao mitigados

Modulos Impactados

angular/nginx.conf

Passos de Implementacao

  1. 1Mapear todos os dominios necessarios para a CSP (Firebase, Meta API, CDN)
  2. 2Adicionar `X-Frame-Options: DENY` e `X-Content-Type-Options: nosniff`
  3. 3Adicionar `Strict-Transport-Security: max-age=31536000; includeSubDomains`
  4. 4Implementar `Content-Security-Policy` com origens do Firebase e Meta API mapeadas
  5. 5Testar que o app funciona normalmente com os headers aplicados (CSP pode quebrar scripts inline)

Achados Relacionados

INFRA-16
AnteriorACT-6.3.3 Usar SHA como tag de imagens Docker (INFRA-15)
ProximoIntegrar get_params.py (AWS SSM) ao pipeline CI/CD (FE-04, INFRA-03) ACT-6.3.5