Seguridad de netflix.com

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de ataques de Cross-Site Scripting (XSS) e inyección de datos.

[HIGH] Cookie flwssn (HttpOnly/Secure): La falta de estas banderas permite que la cookie sea robada mediante scripts o interceptada en conexiones no cifradas.

[HIGH] Cookie nfvdid (HttpOnly/Secure): Al no estar protegida, esta cookie de sesión queda expuesta a ataques de secuestro de sesión y acceso no autorizado.

[MEDIUM] Referrer-Policy: La falta de esta cabecera puede filtrar información sensible de las URLs hacia dominios de terceros.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs críticas del navegador como la cámara o el micrófono, aumentando el riesgo de privacidad.

[MEDIUM] Archivo /readme.html y /README.txt: Estos archivos son accesibles públicamente y pueden exponer detalles técnicos sobre la infraestructura del servidor.

[MEDIUM] Cookie flwssn y nfvdid (SameSite): La ausencia del atributo SameSite hace que el sitio sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Se detectaron 5 recursos cargándose a través de HTTP, lo que debilita la integridad de la conexión HTTPS y permite ataques de hombre en el medio.

[MEDIUM] Bloqueo en Robots.txt: El archivo bloquea el acceso total al sitio, lo que podría ocultar problemas de indexación o configuraciones erróneas de visibilidad.

[LOW] Server header expuesto: La cabecera revela el uso de la tecnología "envoy", facilitando a un atacante la búsqueda de vulnerabilidades específicas para ese software.