Un nuovo giorno nella competizione di Trading di @STRATO_MERCATA. Oggi ho scritto un riepilogo completo del Rapporto sulle Intestazioni di Sicurezza: Riepilogo del Rapporto sulle Intestazioni di Sicurezza, Voto: F — Le intestazioni di sicurezza HTTP più raccomandate mancano: 1. Mancante: Content-Security-Policy Aiuta a prevenire il cross-site scripting (XSS) e l'iniezione di codice. ➤ *Raccomandazione:* Aggiungere una politica rigorosa come default-src 'self';. 2. Mancante: X-Content-Type-Options Previene che i browser eseguano il MIME-sniffing delle risposte. ➤ *Raccomandazione:* Aggiungere X-Content-Type-Options: nosniff. 3. Mancante: Strict-Transport-Security (HSTS) Garantisce che tutto il traffico utilizzi HTTPS, anche se gli utenti digitano "http". ➤ *Raccomandazione:* Aggiungere Strict-Transport-Security: max-age=63072000; includeSubDomains. 4. Mancante: X-Frame-Options Protegge contro il clickjacking impedendo l'incorporamento in iframe. ➤ *Raccomandazione:* Usare X-Frame-Options: DENY o SAMEORIGIN. 5. Mancante: X-XSS-Protection Abilita il filtraggio XSS del browser (per lo più legacy). ➤ *Raccomandazione:* Aggiungere X-XSS-Protection: 1; mode=block *(opzionale nei browser moderni)*. 6. Mancante: Referrer-Policy Controlla quante informazioni sul referrer vengono condivise durante la navigazione. ➤ *Raccomandazione:* Usare Referrer-Policy: strict-origin-when-cross-origin. 7. Mancante: Permissions-Policy (precedentemente Feature-Policy) Limita l'accesso a funzionalità sensibili del browser (es. fotocamera, microfono). ➤ *Raccomandazione:* Usare ad es. Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️