Seguridad de huevosanjuan.com.mx

[HIGH] Content-Security-Policy: Falta esta cabecera crítica que previene ataques de inyección de código y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea cargado en iframes ajenos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado el protocolo HSTS, por lo que el navegador no fuerza la conexión cifrada permanentemente.

[HIGH] Cookie XSRF-TOKEN insegura: Carece de los atributos HttpOnly y Secure, lo que permite que sea interceptada en tránsito o leída por scripts maliciosos.

[HIGH] Cookie laravel_session insegura: No utiliza el flag Secure, permitiendo que la sesión del usuario viaje por canales no cifrados si el usuario accede vía HTTP.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que podría derivar en la ejecución de archivos con contenido malicioso.

[MEDIUM] Referrer-Policy: No existe control sobre la información que el navegador envía a otros sitios al hacer clic en enlaces externos.

[MEDIUM] Permissions-Policy: No se restringe el acceso a las APIs del navegador, dejando abierta la posibilidad de que scripts de terceros accedan a funciones del dispositivo.

[MEDIUM] Contenido Mixto: Se detectó un recurso vinculado mediante HTTP (proan.com) dentro de la página protegida por HTTPS, debilitando la integridad del sitio.

[MEDIUM] Falta de SameSite en cookies: Tanto XSRF-TOKEN como laravel_session no definen esta política, aumentando el riesgo de ataques Cross-Site Request Forgery (CSRF).

[LOW] Servidor expuesto: La cabecera Server revela el uso de Apache, proporcionando información técnica útil para un posible atacante.

[LOW] Tecnología expuesta: Se detectó la cabecera X-Powered-By indicando el uso de PHP/7.4.33, revelando la versión exacta del lenguaje de programación.