Un nuevo día en la competencia de Trading de @STRATO_MERCATA. Hoy escribí un resumen completo del informe de encabezado de seguridad: Resumen del informe de encabezados de seguridad, calificación: F — Faltan los encabezados de seguridad HTTP más recomendados: 1. Falta: Política de seguridad de contenido Ayuda a evitar el scripting entre sitios (XSS) y la inyección de código. ➤ *Recomendación:* Agregue una política estricta como default-src 'self';. 2. Falta: X-Content-Type-Options Evita que los navegadores detecten respuestas MIME. ➤ *Recomendación:* Agregue X-Content-Type-Options: nosniff. 3. Falta: Seguridad estricta de transporte (HSTS) Garantiza que todo el tráfico use HTTPS, incluso si los usuarios escriben "http". ➤ *Recomendación:* Agregue Strict-Transport-Security: max-age=63072000; includeSubDomains. 4. Falta: opciones de marco X Protege contra el secuestro de clics al evitar la incrustación en iframes. ➤ *Recomendación:* Utilice X-frame-Options: DENY o SAMEORIGIN. 5. Falta: X-XSS-Protection Habilita el filtrado XSS del navegador (principalmente heredado). ➤ *Recomendación:* Agregue protección X-XSS: 1; mode=block *(opcional en los navegadores modernos)*. 6. Falta: Política de referencia Controla cuánta información de referencia se comparte durante la navegación. ➤ *Recomendación:* Utilice la política de referencia: strict-origin-when-cross-origin. 7. Falta: Política de permisos (anteriormente Política de características) Restringe el acceso a funciones confidenciales del navegador (por ejemplo, cámara, micrófono). ➤ *Recomendación:* Use, por ejemplo, Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️