Cabeceras de seguridad HTTP.

Las cabeceras de seguridad HTTP son una forma barata y de alto impacto de endurecer aplicaciones web aprovechando las protecciones del navegador. El conjunto principal incluye «Strict-Transport-Security» (HSTS), «Content-Security-Policy» (CSP), «X-Content-Type-Options: nosniff», «X-Frame-Options» o «frame-ancestors», «Referrer-Policy», «Permissions-Policy», «Cross-Origin-Opener-Policy» y «Cross-Origin-Resource-Policy». Cada cabecera mitiga una clase de ataque: downgrade de protocolo, MIME sniffing, clickjacking, fuga por referer, acceso abusivo a APIs del navegador o problemas de aislamiento entre orígenes. Deben aplicarse en cada respuesta (incluyendo páginas de error y APIs), comprobarse con herramientas como securityheaders.com o Mozilla Observatory y tratarse como parte de la línea base de configuración.