Un nuevo día en la competencia de Trading de @STRATO_MERCATA. Hoy escribí un resumen completo del Informe de Encabezados de Seguridad: Resumen del Informe de Encabezados de Seguridad, Calificación: F — Faltan la mayoría de los encabezados de seguridad HTTP recomendados: 1. Faltante: Content-Security-Policy Ayuda a prevenir el scripting entre sitios (XSS) y la inyección de código. ➤ *Recomendación:* Agregar una política estricta como default-src 'self';. 2. Faltante: X-Content-Type-Options Previene que los navegadores realicen sniffing MIME en las respuestas. ➤ *Recomendación:* Agregar X-Content-Type-Options: nosniff. 3. Faltante: Strict-Transport-Security (HSTS) Asegura que todo el tráfico use HTTPS, incluso si los usuarios escriben "http". ➤ *Recomendación:* Agregar Strict-Transport-Security: max-age=63072000; includeSubDomains. 4. Faltante: X-Frame-Options Protege contra el clickjacking al prevenir la incrustación en iframes. ➤ *Recomendación:* Usar X-Frame-Options: DENY o SAMEORIGIN. 5. Faltante: X-XSS-Protection Habilita el filtrado XSS en el navegador (principalmente legado). ➤ *Recomendación:* Agregar X-XSS-Protection: 1; mode=block *(opcional en navegadores modernos)*. 6. Faltante: Referrer-Policy Controla cuánta información del referente se comparte durante la navegación. ➤ *Recomendación:* Usar Referrer-Policy: strict-origin-when-cross-origin. 7. Faltante: Permissions-Policy (anteriormente Feature-Policy) Restringe el acceso a funciones sensibles del navegador (por ejemplo, cámara, micrófono). ➤ *Recomendación:* Usar por ejemplo Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️