Gerador de Permissions-Policy|Crie Cabeçalhos de Segurança Web
Esta ferramenta permite gerar rapidamente o cabeçalho HTTP Permissions-Policy (anteriormente conhecido como Feature-Policy) para aplicações web. Focada em desenvolvedores e profissionais de infraestrutura, ela agiliza a configuração de restrições de segurança para APIs nativas do navegador.
💡 Sobre a Ferramenta
A ferramenta traduz as configurações visuais diretamente para a sintaxe correta do cabeçalho estruturado, evitando erros de digitação comuns durante o deploy de configurações de segurança.
Todos os dados são processados exclusivamente no seu navegador. Nenhuma informação é enviada para servidores, garantindo privacidade e agilidade.
- Oito APIs Críticas: Suporte nativo para a gestão de Camera, Microphone, Geolocation, Fullscreen, Payment, WebUSB, Web Bluetooth e Display Capture.
- Controle Granular de Diretivas: Atribuição simplificada de políticas. Escolha entre
None(bloqueio total),Self(mesmo domínio),All(permissão global) ouCustom(whitelisting de origens específicas). - Sintaxe Pronta para Produção: Geração do código exato para os web servers e runtimes mais utilizados no mercado: Nginx (
add_header), Apache (Header always set), Node.js (res.setHeader) e formato Raw (texto puro). - Interface Reativa: Os cabeçalhos são recalculados e formatados em tempo real assim que qualquer configuração é alterada.
🧐 Perguntas Frequentes
Q. Qual é a diferença entre Permissions-Policy e o antigo Feature-Policy?
A. O Permissions-Policy é a evolução e o padrão atualizado do antigo Feature-Policy. A mudança principal reside na sintaxe de formatação. O formato antigo utilizava strings separadas por espaços (ex: camera 'none'), enquanto o novo padrão segue o modelo de cabeçalhos estruturados HTTP, utilizando dicionários (ex: camera=()). Navegadores modernos exigem o novo formato para garantir o funcionamento correto das restrições.
Q. Qual diretiva devo adotar como padrão na minha aplicação?
A. Para ambientes corporativos e aplicações em produção, a abordagem de segurança Default Deny é a recomendada. Se a sua aplicação não utiliza funcionalidades específicas, configure-as explicitamente como None. Se precisar utilizá-las, restrinja o acesso através da diretiva Self. Isso impede que iframes de terceiros injetados na sua página executem ações privilegiadas.
📚 Boas Práticas e Impacto na Conformidade (LGPD)
Implementar o Permissions-Policy corretamente não é apenas uma questão de blindar a aplicação contra ataques de injeção ou Clickjacking, mas também um passo importante na conformidade regulatória. No cenário brasileiro, a LGPD (Lei Geral de Proteção de Dados) exige que as empresas apliquem o princípio do privilégio mínimo (Privacy by Design).
Ao deixar uma política como All (*) para recursos como geolocalização ou câmera, você pode inadvertidamente permitir que um script de anúncio de terceiros ou um widget comprometido acesse os dados biométricos ou de localização do usuário sem o seu controle direto.
Como avaliar o cabeçalho gerado:
O ideal é que o seu cabeçalho gerado seja o mais restritivo possível. Revise o output e certifique-se de que a string () aparece para tudo aquilo que não faz parte do core business da sua página. Para integrações B2B ou APIs de terceiros confiáveis, utilize a opção Custom para definir as URLs permitidas explicitamente, mantendo a superfície de ataque reduzida ao máximo.