Hari baru dalam kompetisi Trading @STRATO_MERCATA. Hari ini saya menulis Ringkasan Laporan Header Keamanan lengkap: Ringkasan Laporan Header Keamanan, Kelas: F — Header keamanan HTTP yang paling direkomendasikan hilang: 1. Hilang: Kebijakan Keamanan Konten Membantu mencegah skrip lintas situs (XSS) dan injeksi kode. ➤ *Rekomendasi:* Tambahkan kebijakan ketat seperti default-src 'self';. 2. Hilang: X-Content-Type-Options Mencegah browser dari respons yang mengendus MIME. ➤ *Rekomendasi:* Tambahkan X-Content-Type-Options: nosniff. 3. Hilang: Keamanan Transportasi Ketat (HSTS) Memastikan semua traffic menggunakan HTTPS, meskipun pengguna mengetik "http". ➤ *Rekomendasi:* Tambahkan Keamanan Transportasi Ketat: max-age=63072000; termasukSubDomain. 4. Hilang: X-Frame-Options Melindungi dari clickjacking dengan mencegah penyematan di iframe. ➤ *Rekomendasi:* Gunakan X-Frame-Options: DENY atau SAMEORIGIN. 5. Hilang: Perlindungan X-XSS Mengaktifkan pemfilteran XSS browser (sebagian besar lama). ➤ *Rekomendasi:* Tambahkan Perlindungan X-XSS: 1; mode=block *(opsional di browser modern)*. 6. Hilang: Kebijakan Perujuk Mengontrol berapa banyak info perujuk yang dibagikan selama navigasi. ➤ *Rekomendasi:* Gunakan Referrer-Policy: strict-origin-when-cross-origin. 7. Tidak ada: Kebijakan Izin (sebelumnya Kebijakan Fitur) Membatasi akses ke fitur browser sensitif (misalnya kamera, mikrofon). ➤ *Rekomendasi:* Gunakan misalnya Izin-Kebijakan: geolocation=(), camera=(). 🙏📖✍️