Seguridad de flow.cfrd.cl

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que permite la ejecución de scripts no autorizados y ataques de inyección de contenido (XSS).

[HIGH] X-Frame-Options: La ausencia de esta política permite que el sitio sea embebido en marcos externos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, por lo que el servidor no obliga al navegador a utilizar siempre conexiones seguras HTTPS.

[HIGH] Cookie XSRF-TOKEN sin HttpOnly: El flag HttpOnly no está presente, permitiendo que la cookie sea accesible mediante JavaScript y aumentando el riesgo de robo de sesión.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecución de archivos maliciosos.

[MEDIUM] Referrer-Policy: No existe una política definida para controlar cuánta información de referencia se envía a otros sitios al navegar desde el dominio.

[MEDIUM] Permissions-Policy: No se restringe el acceso a funciones sensibles del navegador como la cámara, el micrófono o la geolocalización.

[LOW] Exposición de cabecera Server: El servidor revela el uso de Apache/2.4.67 (Debian), lo que ayuda a un atacante a buscar vulnerabilidades específicas para esa versión.

[LOW] Exposición de X-Powered-By: Se revela el uso de PHP/8.4.21, exponiendo detalles técnicos innecesarios sobre el entorno de ejecución.

[LOW] Falta de sitemap.xml: No se encontró el archivo de mapa del sitio, lo cual es una deficiencia en la configuración de visibilidad y estructura pública.