Seguridad de yoanlopez500-wq.github.io

[LOW] Server header expuesto: Revela el uso de GitHub.com, lo que proporciona información técnica que un atacante puede usar para dirigir ataques específicos contra la infraestructura.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts maliciosos, aumentando el riesgo de ataques Cross-Site Scripting (XSS) e inyecciones de contenido.

[HIGH] X-Frame-Options: Al no estar configurada, el sitio es vulnerable a ataques de clickjacking, permitiendo que un tercero cargue la página en un marco oculto para engañar a los usuarios.

[MEDIUM] X-Content-Type-Options: Falta la directiva nosniff, lo que permite que el navegador realice MIME-type sniffing y ejecute archivos con formatos incorrectos o maliciosos.

[MEDIUM] Referrer-Policy: La falta de control sobre la información de referencia puede filtrar datos sensibles de la URL del sitio hacia dominios externos.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs del navegador como la cámara o el micrófono, dejando abierta la posibilidad de abuso de estas funciones por parte de scripts de terceros.

[HIGH] Redireccion HTTPS: El sitio no redirige automáticamente las peticiones HTTP inseguras a la versión cifrada HTTPS, devolviendo un error 404 en la solicitud de prueba.

[HIGH] HSTS (Strict-Transport-Security): Al no estar configurado, el navegador no recuerda forzar siempre la conexión segura, facilitando ataques de degradación de protocolo y robo de sesiones.

[LOW] Archivos de indexación faltantes: No se encontraron robots.txt ni sitemap.xml, lo que dificulta la gestión adecuada del rastreo por parte de motores de búsqueda.