Um novo dia na competição de Trading da @STRATO_MERCATA. Hoje escrevi um resumo completo do Relatório de Cabeçalhos de Segurança: Resumo do Relatório de Cabeçalhos de Segurança, Nota: F — Os cabeçalhos de segurança HTTP mais recomendados estão em falta: 1. Em falta: Content-Security-Policy Ajuda a prevenir cross-site scripting (XSS) e injeção de código. ➤ *Recomendação:* Adicione uma política rigorosa como default-src 'self';. 2. Em falta: X-Content-Type-Options Impede que os navegadores façam MIME-sniffing das respostas. ➤ *Recomendação:* Adicione X-Content-Type-Options: nosniff. 3. Em falta: Strict-Transport-Security (HSTS) Garante que todo o tráfego use HTTPS, mesmo que os usuários digitem "http". ➤ *Recomendação:* Adicione Strict-Transport-Security: max-age=63072000; includeSubDomains. 4. Em falta: X-Frame-Options Protege contra clickjacking, impedindo a incorporação em iframes. ➤ *Recomendação:* Use X-Frame-Options: DENY ou SAMEORIGIN. 5. Em falta: X-XSS-Protection Ativa a filtragem XSS do navegador (principalmente legado). ➤ *Recomendação:* Adicione X-XSS-Protection: 1; mode=block *(opcional em navegadores modernos)*. 6. Em falta: Referrer-Policy Controla quanta informação de referência é compartilhada durante a navegação. ➤ *Recomendação:* Use Referrer-Policy: strict-origin-when-cross-origin. 7. Em falta: Permissions-Policy (anteriormente Feature-Policy) Restringe o acesso a recursos sensíveis do navegador (por exemplo, câmera, microfone). ➤ *Recomendação:* Use, por exemplo, Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️