Un nouveau jour dans la compétition de Trading de @STRATO_MERCATA. Aujourd'hui, j'ai rédigé un résumé complet du rapport sur les en-têtes de sécurité : Résumé du rapport sur les en-têtes de sécurité, Note : F — La plupart des en-têtes de sécurité HTTP recommandés sont manquants : 1. Manquant : Content-Security-Policy Aide à prévenir le cross-site scripting (XSS) et l'injection de code. ➤ *Recommandation :* Ajoutez une politique stricte comme default-src 'self';. 2. Manquant : X-Content-Type-Options Empêche les navigateurs de détecter le type MIME des réponses. ➤ *Recommandation :* Ajoutez X-Content-Type-Options : nosniff. 3. Manquant : Strict-Transport-Security (HSTS) Assure que tout le trafic utilise HTTPS, même si les utilisateurs tapent "http". ➤ *Recommandation :* Ajoutez Strict-Transport-Security : max-age=63072000; includeSubDomains. 4. Manquant : X-Frame-Options Protège contre le clickjacking en empêchant l'intégration dans des iframes. ➤ *Recommandation :* Utilisez X-Frame-Options : DENY ou SAMEORIGIN. 5. Manquant : X-XSS-Protection Active le filtrage XSS du navigateur (principalement obsolète). ➤ *Recommandation :* Ajoutez X-XSS-Protection : 1; mode=block *(optionnel dans les navigateurs modernes)*. 6. Manquant : Referrer-Policy Contrôle la quantité d'informations de référence partagées lors de la navigation. ➤ *Recommandation :* Utilisez Referrer-Policy : strict-origin-when-cross-origin. 7. Manquant : Permissions-Policy (anciennement Feature-Policy) Restreint l'accès aux fonctionnalités sensibles du navigateur (par exemple, caméra, micro). ➤ *Recommandation :* Utilisez par exemple Permissions-Policy : geolocation=(), camera=(). 🙏📖✍️