Vulnerabilidades corregidas:
- Clickjacking: falta X-Frame-Options DENY — un atacante podía embeber
la web en un iframe y hacer que el usuario enviara cartas GDPR sin saberlo
- MIME sniffing: falta X-Content-Type-Options nosniff — el navegador
podía ejecutar JS desde respuestas con Content-Type incorrecto
- Referrer leak: falta Referrer-Policy — las URLs internas se filtraban
a terceros en las cabeceras Referer
- COOP: falta Cross-Origin-Opener-Policy — acceso al window desde
pestañas cross-origin no estaba bloqueado
- CSP: falta Content-Security-Policy — sin restricción de fuentes
de scripts, estilos y conexiones
Headers añadidos: X-Frame-Options, X-Content-Type-Options,
Referrer-Policy, Permissions-Policy, Content-Security-Policy,
Cross-Origin-Opener-Policy, HSTS con preload.
Aplicar: sudo cp infra/nginx-resetea.conf /etc/nginx/sites-enabled/resetea.net && sudo nginx -t && sudo systemctl reload nginx
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
02360927ff