Checker 11 (CSP Upgrade-Insecure-Requests Value)

Descrição

Esse é o “corretor automático” de segurança, que instrui o navegador a converter automaticamente todos os links HTTP em HTTPS antes de carregá-los.

Importância

Caso um desenvolvedor, por engano, inclua uma imagem, script ou outro recurso usando http:// no código de um site que opera em https://, ocorre o chamado mixed content — quando uma página segura (HTTPS) tenta carregar conteúdo inseguro (HTTP). Isso quebra a proteção da criptografia e pode permitir a interceptação de dados. Esta diretiva instrui o navegador a converter automaticamente, por exemplo, http://www.caramelosec.com/auau.png em https://www.caramelosec.com/auau.png antes de fazer a requisição. Importante: esta diretiva só tem efeito em sites que já operam via HTTPS. Em sites ainda em HTTP puro, ela é ignorada pelo navegador.

Requisitos de Sucesso

• O cabeçalho Content-Security-Policy deve conter o parâmetro upgrade-insecure-requests.
• Obs.: esta diretiva só é eficaz em sites acessados via HTTPS. Se o seu site ainda opera em HTTP, corrija isso antes de qualquer outra configuração de segurança.

Cenários de Teste

Cenário Aprovado: O parâmetro upgrade-insecure-requests está presente (o navegador vai converter links HTTP em HTTPS automaticamente):

Content-Security-Policy: frame-ancestors 'none'; upgrade-insecure-requests;

Cenário Reprovado: O parâmetro upgrade-insecure-requests não está presente (links HTTP inseguros podem ser carregados sem conversão):

Content-Security-Policy: frame-ancestors 'none';