Avaliação da implementação de HTTP Security Headers em aplicações web de pequeno porte

Abstract

Este trabalho investiga a efetividade dos HTTP Security Headers na proteção de aplicações web de pequeno porte, frequentemente expostas a vulnerabilidades decorrentes da ausência de políticas explícitas de segurança. Considerando que sistemas simples, como blogs, portfólios e websites pessoais, frequentemente priorizam funcionalidade em detrimento da segurança, desenvolveu-se um protótipo em Django representativo desse perfil. Após implantação em ambiente de produção, realizou-se diagnóstico inicial utilizando a ferramenta Security Headers, identificando-se a ausência de mecanismos essenciais e definindo-se uma linha de base para comparação. Em seguida, foram implementados Strict-Transport-Security, Content Security-Policy e Permissions-Policy. A nova análise, sob as mesmas condições experimentais, registrou aumento da classificação de C para A+, evidenciando impacto positivo das políticas adotadas. Os resultados indicam que, mesmo em projetos com infraestrutura limitada e baixa maturidade em práticas de segurança, a implementação adequada de HTTP Security Headers amplia a resiliência de aplicações web e fornece subsídios práticos a desenvolvedores.