Media
Headers de seguridad insuficientes (1/8)
Categoría
Headers de seguridad
Confianza
verified
Observado
2026-05-02
Resumen
Apex fomag.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Por qué importa
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Cómo mitigar
- •Habilitar HSTS: `Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`.
- •CSP estricto: `Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; ...`.
- •X-Content-Type-Options: nosniff, X-Frame-Options: DENY (o CSP frame-ancestors), Referrer-Policy: strict-origin-when-cross-origin.