# --- Pathfinder Next-Gen Security Headers (2026) ---
# Função: Instruções diretas para o navegador sobre isolamento e privacidade.

# 1. Privacidade e Controle de Referrer
# Evita que URLs internas vazem para domínios externos em cliques.
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

# 2. Proteção contra Farejamento de MIME (Anti-Sniffing)
# Força o navegador a respeitar o Content-Type enviado pelo servidor.
add_header X-Content-Type-Options "nosniff" always;

# 3. Proteção contra Clickjacking (Fallback/Legacy Support)
# O CSP 'frame-ancestors' é a proteção moderna, mas o X-Frame ainda é necessário.
add_header X-Frame-Options "SAMEORIGIN" always;

# 4. Cross-Origin Isolation (Proteção contra Spectre/Meltdown em JS)
# COOP: Isola o contexto de navegação em um processo separado.
add_header Cross-Origin-Opener-Policy "same-origin" always;
# COEP: Bloqueia recursos que não tenham CORP definido de forma segura.
add_header Cross-Origin-Embedder-Policy "require-corp" always;
# CORP: Define quem pode carregar os recursos deste site.
add_header Cross-Origin-Resource-Policy "same-origin" always;

# 5. Permissions-Policy (Privacidade de Hardware)
# Restringe o acesso a recursos do dispositivo que não são usados.
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), usb=(), payment=()" always;

# 6. Ofuscação de Servidor (Opcional - Requer módulo 'headers-more')
# Remove o nome 'nginx' totalmente do header Server.
more_clear_headers Server;