HTTP Security Headers - Same Origin Policy

Segurança é um assunto difícil. É extremamente fácil deixar brechas de segurança durante o desenvolvimento de uma aplicação. Neste artigo explico como HTTP Security Headers pode ajudar teu website.

A não ser que segurança seja uma feature intrínseca ao negócio, como em caso dos bancos. Infelizmente ela acaba ficando para segundo plano, isso quando é lembrada.

Para proteger uma aplicação ou website há muitos pontos para considerar, mas definitivamente um bom ponto de partida é explorar os HTTP Security Headers.

Essa série de posts tem como intuito apresentar os principais Security Headers e como configura-los da melhor forma. As configurações a seguir são para .NET Core (ASP.NET MVC e WEB API)

Same Origin Policy / CORS (Cross-Origin Resource Sharing)

CORS (Cross-Origin Resource Sharing) é uma especificação do W3C que, quando implementado pelo navegador, permite que um site acesse recursos de outro site mesmo estando em domínios diferentes.

Explicando um pouco melhor: os navegadores fazem uso de uma funcionalidade de segurança chamada Same-Origin Policy: um recurso de um site só pode ser chamado por outro site se os 2 sites estiverem sob o mesmo domínio (mesmo endereço, por ex.: meudominio.com.br). Isso limita a chamada de APIs REST por aplicações JS, por exemplo, hospedadas em servidores diferentes (front-end e back-end em camadas distintas). Isso porque o navegador considera recursos do mesmo domínio somente aqueles que usam o mesmo protocolo (http ou https), a mesma porta e o mesmo endereço (mesmo subdomínios, subdominio.meudominio.com.br, por exemplo, não são considerados seguros e não funcionam).

Exemplo de configuração no .NET Core:

A configuração acima controla quem tem acesso a aplicação e como pode acessar.

Qualquer duvida deixe nos comentários. Até o próximo post.

Exemplo e implantação aqui