Cabeceras de seguridad HTTP que deberías tener
Unas pocas cabeceras bien puestas frenan ataques comunes y mejoran tu nota en cualquier auditoría web.
Tu servidor web puede mandar cabeceras que le dicen al navegador cómo comportarse de forma segura. Son gratis y se configuran una vez.
Las imprescindibles
Strict-Transport-Security(HSTS): obliga a usar HTTPS siempre.Content-Security-Policy(CSP): controla de dónde se cargan scripts, estilos, etc. Es la más potente contra XSS (y la que más cuesta afinar).X-Content-Type-Options: nosniff: evita que el navegador "adivine" tipos de archivo.Referrer-Policy: limita qué información de origen se filtra al navegar.X-Frame-Options/ CSP frame-ancestors: evita que te incrusten en un iframe (clickjacking).
Cómo comprobarlo
Herramientas como securityheaders.com te dan una nota rápida. Para auditar el TLS, SSL Labs. Empieza por HSTS y nosniff (fáciles) y deja CSP para cuando puedas probarla sin romper la web.
Ninguna cabecera sustituye a un código seguro, pero son una capa barata que conviene tener.
#web#http#seguridad#headers