Seguridad de football-data.org

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que permite la ejecución de scripts maliciosos y ataques de inyección de contenido (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva expone el sitio a ataques de clickjacking al permitir que sea cargado en marcos externos.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, por lo que el navegador no fuerza conexiones cifradas, permitiendo ataques de degradación de protocolo.

[HIGH] Cookie Secure Flag: La cookie JSESSIONID carece del atributo Secure, lo que permite que sea enviada a través de conexiones HTTP no cifradas.

[MEDIUM] Cookie SameSite: La cookie JSESSIONID no implementa el atributo SameSite, aumentando el riesgo de ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, facilitando que archivos de datos sean interpretados como ejecutables.

[MEDIUM] Referrer-Policy: No existe una política definida para controlar cuánta información de referencia se comparte con otros dominios.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador, permitiendo potencialmente el acceso no deseado a funciones del dispositivo del usuario.

[MEDIUM] Contenido Mixto: Se detectó un recurso cargado mediante el protocolo inseguro HTTP, comprometiendo la integridad de la página cifrada.

[MEDIUM] Configuración de robots.txt: El archivo bloquea el acceso a todo el sitio mediante la directiva Disallow, lo que puede afectar el rastreo legítimo.

[LOW] Server Header Expuesto: La cabecera revela la versión exacta del servidor (nginx/1.14.2), facilitando a los atacantes la búsqueda de exploits específicos.

[LOW] Sitemap: No se encontró el archivo sitemap.xml, lo que dificulta la indexación y el análisis de la estructura del sitio.