HTTP-003Médiohttp
Proteção contra clickjacking
Verifica `X-Frame-Options` ou `frame-ancestors` equivalente na CSP.
Por que importa
Sem essa defesa, seu app pode ser colocado dentro de um iframe malicioso e usado como isca de clickjacking.
Como corrigir
Use `X-Frame-Options: DENY` ou `Content-Security-Policy: frame-ancestors 'none'`.
Verificar a correção
HTTP-003 · verifynão-destrutivo
curl -sI https://seu-app.com | grep -i x-frame-options