# security headers
# Adiciona o cabeçalho "X-XSS-Protection" às respostas. Esse cabeçalho ajuda a prevenir ataques
# de Cross-Site Scripting (XSS) nos navegadores que suportam essa funcionalidade. A configuração 
# "1; mode=block" solicita ao navegador que ative o mecanismo de proteção contra XSS e bloqueie 
# a execução de scripts potencialmente maliciosos.
add_header X-XSS-Protection          "1; mode=block" always;
# Adiciona o cabeçalho "X-Content-Type-Options" às respostas. Esse cabeçalho instrui o navegador
# a não adivinhar (sniff) o tipo MIME do conteúdo e, em vez disso, respeitar o tipo MIME informado
# pelo servidor. Isso ajuda a prevenir ataques baseados em manipulação do tipo MIME.
add_header X-Content-Type-Options    "nosniff" always;
# Adiciona o cabeçalho "Referrer-Policy" às respostas. Esse cabeçalho controla como o cabeçalho
# "Referer" é enviado pelo navegador ao acessar links. Nesse caso, "no-referrer-when-downgrade"
# indica que o cabeçalho "Referer" não será enviado em solicitações de navegação segura (HTTPS)
# para uma origem menos segura (HTTP).
add_header Referrer-Policy           "no-referrer-when-downgrade" always;
# Adiciona o cabeçalho "Permissions-Policy" às respostas. Essa diretiva define uma política de
# permissões que controla as funcionalidades do navegador que podem ser acessadas pelo site.
# Neste caso, a política "interest-cohort=()" desativa o uso de "FLoC" (Federated Learning of Cohorts)
# no Chrome, que é uma tecnologia de rastreamento de terceiros.
add_header Permissions-Policy        "interest-cohort=()" always;
# Adiciona o cabeçalho "Strict-Transport-Security" às respostas. Esse cabeçalho instrui o
# navegador a acessar o site apenas por meio de conexões seguras (HTTPS) durante o período
# especificado ("max-age=31536000" indica um ano) e também inclui subdomínios no requisito de uso de HTTPS.
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

# . files
# Essa localização lida com solicitações de arquivos ocultos (arquivos que começam com um ponto)
# exceto aqueles localizados na pasta "well-known". A diretiva "deny all" nega o acesso a esses 
# arquivos e, portanto, eles não serão servidos pelo Nginx.
location ~ /\.(?!well-known) {
    deny all;
}