Seguridad de coursera.org

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita la ejecución de ataques XSS y la inyección de contenido malicioso.

[HIGH] Cookie CSRF3-Token: Falta el flag HttpOnly, permitiendo que la cookie sea accesible mediante scripts de cliente, aumentando el riesgo de robo de sesión.

[HIGH] Cookie __204u (HttpOnly): La carencia del atributo HttpOnly expone el identificador al acceso por JavaScript.

[HIGH] Cookie __204u (Secure): La cookie no tiene el flag Secure, lo que permite que sea enviada a través de conexiones HTTP no cifradas.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que podría filtrar información sensible sobre la procedencia del tráfico a dominios externos.

[MEDIUM] Permissions-Policy: La falta de esta cabecera permite que el navegador acceda a APIs potencialmente invasivas sin restricciones específicas del servidor.

[MEDIUM] Ruta /user/login: El panel de acceso administrativo es accesible de forma pública, facilitando intentos de fuerza bruta.

[MEDIUM] Cookie __204u (SameSite): Al no tener definido el atributo SameSite, el sitio es vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Se detectaron recursos cargando por el protocolo inseguro HTTP dentro de la página protegida por HTTPS.

[MEDIUM] Bloqueo total robots.txt: El archivo bloquea la indexación de todo el sitio, lo cual puede ser un error de configuración o una medida de seguridad excesiva.

[LOW] Server header expuesto: El valor envoy revela la tecnología de balanceo o servidor utilizada.

[LOW] X-Powered-By expuesto: El valor Express revela el framework de desarrollo utilizado, facilitando el reconocimiento para un atacante.