Strict-Transport-Security cierra la ventana de TLS stripping pero, mal puesto, deja inaccesibles subdominios HTTP legacy. Guía para llegar a max-age=2 años + includeSubDomains + preload sin sustos.
LeerContent-Security-Policy es de los headers más útiles para frenar XSS y data exfil, pero también el más fácil de inutilizar. En WordPress, además, la mitad de los plugins inyecta inline scripts. Esta es una receta concreta para llegar a una CSP estricta sin dejar el panel inservible.
LeerSuscripción gratuita
Artículos sobre ciberseguridad, directo a tu correo.
Sin spam. Publicamos cuando hay algo útil que decir, no a fecha fija.
