Seguridad de jellyfin.iptv-box.top

[HIGH] Redirección HTTP a HTTPS ausente: El servidor no redirige automáticamente las conexiones inseguras a la versión cifrada, permitiendo el acceso por el puerto 80.

[HIGH] Falta de Strict-Transport-Security (HSTS): No se instruye al navegador para que use exclusivamente HTTPS, facilitando ataques de degradación de seguridad.

[HIGH] Falta de Content-Security-Policy (CSP): La ausencia de esta política permite la ejecución de scripts maliciosos y ataques de inyección de contenido XSS.

[HIGH] Falta de X-Frame-Options: El sitio no previene ser cargado dentro de marcos o iframes, lo que lo hace susceptible a ataques de clickjacking.

[MEDIUM] Falta de X-Content-Type-Options: El navegador podría interpretar archivos con tipos MIME incorrectos, lo que puede derivar en la ejecución de código no deseado.

[MEDIUM] Falta de Referrer-Policy: No existe control sobre la información de navegación que se comparte con sitios terceros al seguir enlaces salientes.

[MEDIUM] Falta de Permissions-Policy: No se restringen las capacidades del navegador, como el acceso a hardware o APIs de geolocalización, desde el contexto web.

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La exposición de este puerto alternativo incrementa la superficie de ataque al revelar servicios adicionales o proxys.

[MEDIUM] Robots.txt restrictivo y falta de Sitemap: El archivo de configuración bloquea todo el rastreo y la falta de sitemap.xml dificulta la auditoría de recursos expuestos.

[LOW] Server header expuesto: La cabecera revela el uso de tecnología Cloudflare, lo cual asiste a un atacante en la fase de reconocimiento de la infraestructura.