Nový den v obchodní soutěži @STRATO_MERCATA. Dnes jsem napsal úplné shrnutí zprávy Security Header: Shrnutí zprávy o bezpečnostních hlavičkách, Stupeň: F — Chybí většina doporučených záhlaví zabezpečení HTTP: 1. Chybí: zásady zabezpečení obsahu Pomáhá zabránit skriptování mezi weby (XSS) a vkládání kódu. ➤ *Doporučení:* Přidejte striktní zásadu jako default-src 'self';. 2. Chybí: X-Content-Type-Options Zabrání prohlížečům v odpovědích s čicháním MIME. ➤ *Doporučení:* Přidat X-Content-Type-Options: nosniff. 3. Chybí: Přísná bezpečnost přepravy (HSTS) Zajišťuje, aby veškerý provoz používal protokol HTTPS, i když uživatelé zadají "http". ➤ *Doporučení:* Přidat striktní zabezpečení přenosu: max-age=63072000; includeSubDomains. 4. Chybí: X-Frame-Options Chrání před clickjackingem tím, že zabraňuje vkládání do prvků iframe. ➤ *Doporučení:* Použijte x-frame-options: DENY nebo SAMEORIGIN. 5. Chybí: X-XSS-Protection Povolí filtrování XSS prohlížeče (většinou starší). ➤ *Doporučení:* Přidat ochranu X-XSS: 1; mode=block *(volitelné v moderních prohlížečích)*. 6. Chybí: Zásady odkazujícího serveru Určuje, kolik informací o odkazující osobě je sdíleno během navigace. ➤ *Doporučení:* Použijte Referrer-Policy: strict-origin-when-cross-origin. 7. Chybí: Zásady oprávnění (dříve Feature-Policy) Omezuje přístup k citlivým funkcím prohlížeče (např. fotoaparát, mikrofon). ➤ *Doporučení:* Použijte např. Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️