Seguridad de compilezone.com

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que deja el sitio expuesto a ataques de Cross-Site Scripting (XSS) e inyección de datos maliciosos.

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea cargado en iframes, facilitando ataques de clickjacking para engañar a los usuarios.

[HIGH] Strict-Transport-Security: No está configurada la política HSTS, por lo que el navegador no fuerza la conexión HTTPS de forma permanente, permitiendo ataques de degradación.

[HIGH] Cookie PHPSESSID sin flag HttpOnly: El identificador de sesión es accesible mediante JavaScript, lo que permite que un atacante robe la sesión si existe una vulnerabilidad XSS.

[HIGH] Cookie PHPSESSID sin flag Secure: La cookie de sesión puede ser enviada a través de conexiones no cifradas, aumentando el riesgo de interceptación en redes inseguras.

[MEDIUM] X-Content-Type-Options: Al no estar presente, el navegador podría intentar adivinar el tipo de contenido, lo que permite la ejecución de scripts camuflados como otros archivos.

[MEDIUM] Referrer-Policy: No hay control sobre la información de origen enviada a terceros, lo que podría filtrar rutas internas sensibles de la aplicación.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a funciones del navegador como la cámara, el micrófono o la geolocalización por parte de terceros.

[MEDIUM] Cookie PHPSESSID sin flag SameSite: La falta de este atributo hace que el sitio sea vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Se detectó un recurso de Google Fonts cargando vía HTTP, lo que rompe la integridad de la conexión cifrada HTTPS.

[LOW] Server header expuesto: El encabezado revela el uso de Apache/2.4.67 (Debian), proporcionando a los atacantes información valiosa sobre la tecnología del servidor.