Què analitzem?
Les capçaleres HTTP de seguretat són instruccions que el servidor envia al navegador indicant com ha de comportar-se per protegir l'usuari. La seva absència o mala configuració deixa la porta oberta a múltiples vectors d'atac.
Capçaleres verificades
Strict-Transport-Security (HSTS)
Força connexions HTTPS, prevé atacs de downgrade i man-in-the-middle.
Content-Security-Policy (CSP)
Controla quins recursos pot carregar la pàgina, mitigant atacs XSS.
X-Frame-Options
Prevé que la pàgina sigui embeguda en iframes, protegint contra clickjacking.
X-Content-Type-Options
Evita el MIME-sniffing que podria executar fitxers maliciosos.
X-XSS-Protection
Activa el filtre anti-XSS del navegador (legacy però encara rellevant).
Referrer-Policy
Controla quina informació de referència s'envia en les peticions.
Per què és important?
Sense aquestes capçaleres, el teu lloc web és vulnerable a atacs com Cross-Site Scripting (XSS), clickjacking, injecció de contingut maliciós i robatori d'informació. Són una capa de defensa fàcil d'implementar però freqüentment oblidada.
Impacte si falla
- Execució de scripts maliciosos al navegador de l'usuari
- Robatori de cookies i tokens de sessió
- Engany a l'usuari mitjançant clickjacking
- Injecció de contingut fraudulent
Marc legal aplicable
L'Article 5 del RGPD estableix el principi d'integritat i confidencialitat de les dades. No implementar capçaleres de seguretat bàsiques pot considerar-se una falta de diligència en la protecció de dades.
Sancions potencials
| Tipus d'empresa | Multa orientativa |
|---|---|
| Microempresa | 5.000 - 40.000 € |
| PIME | 40.000 - 300.000 € |
| Gran empresa | Fins a 10M € o 2% facturació |