- Dark theme en index (class=page-dark): fondo #1a1714, títulos ácido, botones nav crema
- Hero-landing con gradiente animado ácido→caoba aplicado a los 7 htmls
- Slider 3 slides (crossfade CSS + JS): crowd-phones / surveillance / legal-action
- Imágenes descargadas localmente (CSP img-src 'self')
- Botón RESETEA hero: verde ácido, fuente Recion, tipografía grande centrada
- Cards de estudios con enlaces a fuente original
- CSP ampliada: img-src añade cdn.simpleicons.org para chips de redes
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
Vulnerabilidades corregidas:
- Clickjacking: falta X-Frame-Options DENY — un atacante podía embeber
la web en un iframe y hacer que el usuario enviara cartas GDPR sin saberlo
- MIME sniffing: falta X-Content-Type-Options nosniff — el navegador
podía ejecutar JS desde respuestas con Content-Type incorrecto
- Referrer leak: falta Referrer-Policy — las URLs internas se filtraban
a terceros en las cabeceras Referer
- COOP: falta Cross-Origin-Opener-Policy — acceso al window desde
pestañas cross-origin no estaba bloqueado
- CSP: falta Content-Security-Policy — sin restricción de fuentes
de scripts, estilos y conexiones
Headers añadidos: X-Frame-Options, X-Content-Type-Options,
Referrer-Policy, Permissions-Policy, Content-Security-Policy,
Cross-Origin-Opener-Policy, HSTS con preload.
Aplicar: sudo cp infra/nginx-resetea.conf /etc/nginx/sites-enabled/resetea.net && sudo nginx -t && sudo systemctl reload nginx
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
