HTTP-002Baixohttp
Content-Security-Policy presente
Confere se há cabeçalho CSP configurado.
Por que importa
CSP é a última linha de defesa contra XSS — sem ele, qualquer injeção vira execução de script no domínio da vítima.
Como corrigir
Comece com um CSP restritivo em modo `Report-Only` e endureça progressivamente.
Verificar a correção
HTTP-002 · verifynão-destrutivo
curl -sI https://seu-app.com | grep -i content-security-policy