Defesa em profundidade

12 camadas de segurança, prontas para produção

Módulos reutilizáveis que blindam qualquer SaaS, plataforma ou startup — do header HTTP à criptografia de dados. Cada camada é código tipado, testável e composável.

01

Security Headers & CSP

HSTS, X-Frame-Options, CSP restritiva, nosniff, Permissions-Policy.

02

Rate Limiting

Janela deslizante por IP/usuário; presets para auth, API, scan e webhooks.

03

Sanitização de Input

Escape de HTML, remoção de control/zero-width chars, anti open-redirect.

04

Proteção CSRF

Double-submit token + verificação de Origin/Referer, comparação em tempo constante.

05

Assinatura de Webhooks

HMAC-SHA256 com tolerância anti-replay para CartPanda, Hotmart e custom.

06

Criptografia em Repouso

AES-256-GCM por campo + hash de tokens com scrypt.

07

Política de Senhas

Força mínima, bloqueio de senhas comuns e padrões fracos.

08

Detecção de Secrets

Assinaturas de provedores + entropia de Shannon para chaves vazadas.

09

Audit Log Seguro

Eventos estruturados com redação automática de dados sensíveis.

10

Guards de Autenticação

requireUser/requireRole/assertOwnership — falha fechada, defesa sobre RLS.

11

CORS Allow-list

Reflete apenas origens confiáveis; nunca wildcard com credenciais.

12

Shield Engine (Defesa Ativa)

Detecta ataques em tempo real (SQLi/XSS/traversal/Log4Shell), bloqueia, bane IPs reincidentes e dispara alertas.

Como usar

Envolva qualquer rota com o stack completo em uma linha:

import { withApiSecurity, RATE_PRESETS } from "@/lib/security";

async function handler(req: Request) {
  // sua lógica aqui
}

// rate limit + CORS + CSRF + headers de segurança
export const POST = withApiSecurity(handler, {
  rate: RATE_PRESETS.api,
  csrf: true,
});