En ny dag i Trading-konkurransen i @STRATO_MERCATA. I dag skrev jeg et fullstendig sammendrag av sikkerhetshoderapporten: Rapportsammendrag for sikkerhetshoder, karakter: F – De fleste anbefalte HTTP-sikkerhetshodene mangler: 1. Mangler: Retningslinjer for innhold-sikkerhet Bidrar til å forhindre skripting på tvers av områder (XSS) og kodeinjeksjon. ➤ *Anbefaling:* Legg til en streng policy som default-src 'self';. 2. Mangler: X-Content-Type-Options Hindrer nettlesere i MIME-sniffingssvar. ➤ *Anbefaling:* Legg til X-Content-Type-Options: nosniff. 3. Mangler: Streng transportsikkerhet (HSTS) Sikrer at all trafikk bruker HTTPS, selv om brukere skriver "http". ➤ *Anbefaling:* Legg til streng-transport-sikkerhet: maks-alder = 63072000; includeSubDomains. 4. Mangler: X-Frame-alternativer Beskytter mot klikkkapring ved å forhindre innbygging i iframes. ➤ *Anbefaling:* Bruk X-Frame-alternativer: DENY eller SAMEORIGIN. 5. Mangler: X-XSS-beskyttelse Aktiverer XSS-filtrering i nettleseren (for det meste eldre). ➤ *Anbefaling:* Legg til X-XSS-beskyttelse: 1; mode=block *(valgfritt i moderne nettlesere)*. 6. Mangler: Retningslinjer for henvisning Kontrollerer hvor mye henvisningsinformasjon som deles under navigasjon. ➤ *Anbefaling:* Bruk henvisningspolicy: streng-opprinnelse-når-kryss-opprinnelse. 7. Mangler: Permissions-Policy (tidligere Feature-Policy) Begrenser tilgangen til sensitive nettleserfunksjoner (f.eks. kamera, mikrofon). ➤ *Anbefaling:* Bruk f.eks Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️