Módulos reutilizáveis que blindam qualquer SaaS, plataforma ou startup — do header HTTP à criptografia de dados. Cada camada é código tipado, testável e composável.
HSTS, X-Frame-Options, CSP restritiva, nosniff, Permissions-Policy.
Janela deslizante por IP/usuário; presets para auth, API, scan e webhooks.
Escape de HTML, remoção de control/zero-width chars, anti open-redirect.
Double-submit token + verificação de Origin/Referer, comparação em tempo constante.
HMAC-SHA256 com tolerância anti-replay para CartPanda, Hotmart e custom.
AES-256-GCM por campo + hash de tokens com scrypt.
Força mínima, bloqueio de senhas comuns e padrões fracos.
Assinaturas de provedores + entropia de Shannon para chaves vazadas.
Eventos estruturados com redação automática de dados sensíveis.
requireUser/requireRole/assertOwnership — falha fechada, defesa sobre RLS.
Reflete apenas origens confiáveis; nunca wildcard com credenciais.
Detecta ataques em tempo real (SQLi/XSS/traversal/Log4Shell), bloqueia, bane IPs reincidentes e dispara alertas.
Envolva qualquer rota com o stack completo em uma linha:
import { withApiSecurity, RATE_PRESETS } from "@/lib/security";
async function handler(req: Request) {
// sua lógica aqui
}
// rate limit + CORS + CSRF + headers de segurança
export const POST = withApiSecurity(handler, {
rate: RATE_PRESETS.api,
csrf: true,
});