31 lines
1.5 KiB
Plaintext
31 lines
1.5 KiB
Plaintext
# --- Pathfinder Next-Gen Security Headers (2026) ---
|
|
# Função: Instruções diretas para o navegador sobre isolamento e privacidade.
|
|
|
|
# 1. Privacidade e Controle de Referrer
|
|
# Evita que URLs internas vazem para domínios externos em cliques.
|
|
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
|
|
|
|
# 2. Proteção contra Farejamento de MIME (Anti-Sniffing)
|
|
# Força o navegador a respeitar o Content-Type enviado pelo servidor.
|
|
add_header X-Content-Type-Options "nosniff" always;
|
|
|
|
# 3. Proteção contra Clickjacking (Fallback/Legacy Support)
|
|
# O CSP 'frame-ancestors' é a proteção moderna, mas o X-Frame ainda é necessário.
|
|
add_header X-Frame-Options "SAMEORIGIN" always;
|
|
|
|
# 4. Cross-Origin Isolation (Proteção contra Spectre/Meltdown em JS)
|
|
# COOP: Isola o contexto de navegação em um processo separado.
|
|
add_header Cross-Origin-Opener-Policy "same-origin" always;
|
|
# COEP: Bloqueia recursos que não tenham CORP definido de forma segura.
|
|
add_header Cross-Origin-Embedder-Policy "require-corp" always;
|
|
# CORP: Define quem pode carregar os recursos deste site.
|
|
add_header Cross-Origin-Resource-Policy "same-origin" always;
|
|
|
|
# 5. Permissions-Policy (Privacidade de Hardware)
|
|
# Restringe o acesso a recursos do dispositivo que não são usados.
|
|
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), usb=(), payment=()" always;
|
|
|
|
# 6. Ofuscação de Servidor (Opcional - Requer módulo 'headers-more')
|
|
# Remove o nome 'nginx' totalmente do header Server.
|
|
more_clear_headers Server;
|