Seguridad de spotify.com

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite que el sitio sea cargado en marcos externos, facilitando ataques de clickjacking.

[HIGH] Cookie sp_t sin HttpOnly: La falta de este atributo permite que la cookie sea accesible mediante scripts, aumentando el riesgo de robo de sesión vía XSS.

[HIGH] Cookie sp_new sin HttpOnly: Esta cookie de sesión carece de protección contra acceso por Javascript, exponiendo la identidad del usuario.

[MEDIUM] Cookie sp_t sin SameSite: La omisión de este atributo hace que la cookie sea enviada en peticiones de terceros, permitiendo ataques de CSRF.

[MEDIUM] Cookie sp_new sin SameSite: Riesgo de falsificación de solicitudes entre sitios debido a la falta de restricción en el envío de la cookie.

[MEDIUM] Cookie sp_landing sin SameSite: Vulnerabilidad ante ataques de tipo Cross-Site Request Forgery por configuración incompleta.

[MEDIUM] Archivo /readme.html expuesto: Este archivo es accesible públicamente y puede contener metadatos o información técnica sobre la plataforma.

[MEDIUM] Archivo /README.txt expuesto: La visibilidad de este documento técnico puede revelar detalles de la estructura interna del servidor.

[MEDIUM] Referrer-Policy: La falta de esta cabecera impide controlar qué información de origen se envía a otros dominios durante la navegación.

[MEDIUM] Permissions-Policy: No se han definido restricciones para el uso de APIs del navegador como la cámara o el micrófono.

[LOW] Server header expuesto: El servidor revela el uso de la tecnología envoy, lo que facilita a atacantes la búsqueda de exploits específicos para esa versión.