يوم جديد في مسابقة التداول @STRATO_MERCATA. كتبت اليوم ملخصا كاملا لتقرير رأس الأمان: ملخص تقرير رؤوس الأمان، الدرجة: F — معظم رؤوس أمان HTTP الموصى بها مفقودة: 1. مفقود: سياسة أمان المحتوى يساعد على منع البرمجة النصية عبر المواقع (XSS) وحقن التعليمات البرمجية. ➤ * التوصية: * أضف سياسة صارمة مثل default-src "self" ؛. 2. مفقود: خيارات نوع المحتوى X يمنع المتصفحات من استجابات استنشاق MIME. ➤ * التوصية: * إضافة خيارات X-Content-Type: nosniff. 3. مفقود: الأمن الصارم للنقل (HSTS) يضمن أن جميع الزيارات تستخدم HTTPS، حتى إذا كتب المستخدمون "http". ➤ * توصية: * إضافة أمان النقل الصارم: الحد الأقصى للعمر = 63072000 ؛ includeSubDomains. 4. مفقود: خيارات الإطار X يحمي من النقر عن طريق منع التضمين في إطارات iframe. ➤ * التوصية: * استخدم خيارات X-frame: DENY أو SAMEORIGIN. 5. مفقود: X-XSS-Protection تمكين تصفية XSS للمتصفح (معظمها قديم). ➤ * التوصية: * إضافة X-XSS-Protection: 1 ؛ mode=block *(اختياري في المتصفحات الحديثة)*. 6. مفقود: سياسة الإحالة يتحكم في مقدار معلومات المحيل التي تتم مشاركتها أثناء التنقل. ➤ * التوصية: * استخدم سياسة الإحالة: أصل صارم عند عبر الأصل. 7. مفقود: سياسة الأذونات (سياسة الميزات سابقا) يقيد الوصول إلى ميزات المتصفح الحساسة (مثل الكاميرا والميكروفون). ➤ * التوصية: * استخدم على سبيل المثال سياسة الأذونات: الموقع الجغرافي = () ، الكاميرا = (). 🙏📖✍️