Por que hardening em site estático?

Mesmo sites estáticos podem sofrer com riscos como clickjacking, MIME sniffing, vazamento de referrer e execução indevida de recursos. Security headers e CSP reduzem essa superfície.

Threat modeling básico

Decisões aplicadas

• Bloqueio de iframes (anti-clickjacking)
• HSTS para forçar HTTPS
• CSP com default-src 'self'
• Permissions-Policy restritiva

Trade-offs

Mantive 'unsafe-inline' em style-src para compatibilidade com estilos do projeto. A meta é remover no futuro migrando para classes e evitando qualquer inline.

Security vs. DX

Como validar

• DevTools → Network → Response Headers
• Console sem erros de CSP
• Revisão de recursos externos (bloqueados por padrão)

Verificação