Directus: Falta de Cross-Origin Opener Policy

## Resumo As páginas de login Single Sign-On (SSO) do Directus não possuíam o cabeçalho de resposta HTTP `Cross-Origin-Opener-Policy` (COOP). Sem este cabeçalho, uma janela cross-origin maliciosa que abre a página de login do Directus mantém a capacidade de acessar e manipular o objeto `window` dessa página. Um atacante pode explorar isso para interceptar e redirecionar o fluxo de autorização OAuth para um cliente OAuth controlado pelo atacante, fazendo com que a vítima conceda inadvertidamente acesso à sua conta do provedor de autenticação (por exemplo, Google, Discord). ## Impacto Um ataque bem-sucedido permite que o atacante obtenha um token de acesso OAuth para a conta do provedor de identidade de terceiros da vítima. Dependendo dos escopos autorizados, isso pode levar a: - Acesso não autorizado à conta do provedor de identidade vinculada da vítima - Apropriação da conta da instância Directus se o atacante puder autenticar usando as credenciais roubadas ou sessão do provedor ## Correções Este problema foi resolvido adicionando o cabeçalho de resposta HTTP `Cross-Origin-Opener-Policy: same-origin` aos endpoints relacionados ao SSO. Este cabeçalho instrui o navegador a colocar a página em seu próprio grupo de contexto de navegação, interrompendo qualquer referência que a janela de abertura possa manter.