Cabeçalhos de segurança HTTP.

Cabeçalhos de segurança HTTP são uma maneira barata e de alto impacto de endurecer aplicações web usando proteções nativas do navegador. O conjunto central inclui 'Strict-Transport-Security' (HSTS), 'Content-Security-Policy' (CSP), 'X-Content-Type-Options: nosniff', 'X-Frame-Options' ou 'frame-ancestors', 'Referrer-Policy', 'Permissions-Policy', 'Cross-Origin-Opener-Policy' e 'Cross-Origin-Resource-Policy'. Cada cabeçalho mitiga uma classe de ataques: downgrade de protocolo, MIME sniffing, clickjacking, vazamento por referer, uso abusivo de recursos do navegador e problemas de isolamento entre origens. Devem ser enviados em toda resposta (inclusive páginas de erro e APIs), validados com ferramentas como securityheaders.com ou Mozilla Observatory e tratados como parte da baseline de configuração.