Backend (FLUJOS_APP.js):
- Lista blanca de temas válidos (bloquea escaneo libre de la BD)
- Validación estricta de subtematica (regex alfanumérico, 80 chars)
- Validación de fechas: formato ISO YYYY-MM-DD + rango lógico
- Validación de nodos y complejidad con rangos numéricos explícitos
- CSP sin unsafe-inline en scriptSrc (eliminado)
- Helmet completo activado (X-Frame-Options, X-Content-Type-Options, HSTS...)
- Filtro anti-CSRF por cabecera Origin en /api/
- bodyParser con límite 10kb
- Cabeceras: Referrer-Policy, X-Content-Type-Options explícitas
Frontend (3dscript_eco-corp.html, script_eco-corp.html):
- innerHTML eliminado, sustituido por DOM API + textContent
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
f04ab5fa74