Um novo dia na competição de negociação de @STRATO_MERCATA. Hoje eu escrevi um resumo completo do relatório do cabeçalho de segurança: Resumo do relatório de cabeçalhos de segurança, Grade: F — Os cabeçalhos de segurança HTTP mais recomendados estão ausentes: 1. Ausente: Política de Segurança de Conteúdo Ajuda a evitar scripts entre sites (XSS) e injeção de código. ➤ *Recomendação:* Adicione uma política estrita como default-src 'self';. 2. Ausente: x-content-type-options Impede que os navegadores detectem respostas MIME. ➤ *Recomendação:* Adicionar X-Content-Type-Options: nosniff. 3. Ausente: Segurança de Transporte Estrito (HSTS) Garante que todo o tráfego use HTTPS, mesmo que os usuários digitem "http". ➤ *Recomendação:* Adicionar Strict-Transport-Security: max-age=63072000; includeSubDomains. 4. Ausente: X-Frame-Options Protege contra clickjacking, impedindo a incorporação em iframes. ➤ *Recomendação:* Use x-frame-options: DENY ou SAMEORIGIN. 5. Ausente: X-XSS-Protection Habilita a filtragem XSS do navegador (principalmente legado). ➤ *Recomendação:* Adicionar proteção X-XSS: 1; mode=block *(opcional em navegadores modernos)*. 6. Ausente: Política de Referência Controla a quantidade de informações do referenciador compartilhadas durante a navegação. ➤ *Recomendação:* Use a Política de Referência: strict-origin-when-cross-origin. 7. Ausente: Política de Permissões (anteriormente Política de Recursos) Restringe o acesso a recursos confidenciais do navegador (por exemplo, câmera, microfone). ➤ *Recomendação:* Use, por exemplo, Política de Permissões: geolocalização=(), câmera=(). 🙏📖✍️