Новий день у Торговому конкурсі @STRATO_MERCATA. Сьогодні я написав повний підсумок звіту Security Header Report: Підсумок звіту Security Headers, оцінка: F — Більшість рекомендованих заголовків безпеки HTTP відсутні: 1. Відсутні: Контент-Безпека-Політика Допомагає запобігти міжсайтовому скриптуванню (XSS) та ін'єкції коду. ➤ *Рекомендація:* Додайте строгу політику, наприклад default-src 'self';. 2. Відсутні: параметри X-content-type-Options Запобігає відповідям браузерів на запит MIME. ➤ *Рекомендація:* Додайте X-Content-Type-Options: nosniff. 3. Відсутній: сувора транспортна безпека (HSTS) Гарантує, що весь трафік використовує HTTPS, навіть якщо користувачі вводять "http". ➤ *Рекомендація:* Додайте строгу транспортну безпеку: max-age=63072000; includeSubDomains. 4. Відсутні: X-Frame-Options Захищає від клікджекінгу, запобігаючи вбудовуванню в iframes. ➤ *Рекомендація:* Використовуйте X-Frame-Options: DENY або SAMEORIGIN. 5. Відсутній: X-XSS-захист Включає фільтрацію XSS браузера (в основному застарілу). ➤ *Рекомендація:* Додати X-XSS-захист: 1; mode=block *(необов'язково в сучасних браузерах)*. 6. Відсутній: Реферер-політика Визначає, скільки інформації про перенаправлення надсилається під час навігації. ➤ *Рекомендація:* Використовуйте Referrer-Policy: strict-origin-when-cross-origin. 7. Відсутні: Permissions-Policy (раніше Feature-Policy) Обмежує доступ до конфіденційних функцій веб-переглядача (наприклад, камери, мікрофона). ➤ *Рекомендація:* Використовуйте, наприклад, Permissions-Policy: geolocation=(), camera=(). 🙏📖✍️