Seguridad de lagranjapark.com

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: El sitio no impide ser cargado en marcos externos, lo que facilita ataques de clickjacking.

[HIGH] Falta de Strict-Transport-Security: No se obliga al navegador a utilizar conexiones HTTPS, permitiendo ataques de degradación de SSL.

[HIGH] Cookie session_id sin flag Secure: La cookie de sesión se transmite por canales no cifrados, facilitando el robo de la identidad del usuario.

[HIGH] Cookie frontend_lang sin HttpOnly: Esta cookie es accesible mediante scripts del navegador, aumentando el riesgo de robo de información en ataques XSS.

[HIGH] Cookie frontend_lang sin flag Secure: Se permite el envío de esta cookie de configuración a través de conexiones HTTP inseguras.

[MEDIUM] Falta de Permissions-Policy: No se restringe el acceso de las APIs del navegador a funciones sensibles como la cámara o el micrófono.

[MEDIUM] Cookies sin atributo SameSite: Las cookies frontend_lang y session_id carecen de esta protección, siendo vulnerables a ataques de falsificación de peticiones en sitios cruzados (CSRF).

[MEDIUM] Contenido mixto: Se han detectado 2 recursos cargados mediante el protocolo HTTP dentro de la página segura, lo que debilita la integridad de la conexión.

[LOW] Cabecera de servidor expuesta: El servidor revela el uso de nginx, proporcionando información técnica valiosa para un atacante.

[LOW] Meta generator expuesto: El código fuente revela el uso de la plataforma Odoo, facilitando la identificación de la infraestructura tecnológica.