Cabeceras de seguridad para Cloudflare Pages y sitios React

Un sitio React endurecido debe definir explícitamente el comportamiento del navegador. La política exacta depende de la aplicación, pero la base suele incluir protección de tipo de contenido, protección contra clickjacking, control de referrer, permissions policy y una content security policy cuidadosamente elegida.

En hosting estático es fácil olvidarlo porque la aplicación sigue renderizando sin cabeceras. El trabajo de seguridad debe verificarse en la capa de respuesta HTTP.

• Mantenga las reglas de cabeceras cerca del repositorio cuando sea posible para revisarlas junto con el código.
• Evite cambios solo en el dashboard si no están documentados, porque son más difíciles de auditar después.
• Verifique los dominios www y apex si ambos se sirven.
• Compruebe que las redirecciones no eliminan cabeceras importantes de la respuesta final.

Access-Control-Allow-Origin: * se copia a menudo sin una razón. Para páginas web normales, CORS amplio normalmente no ayuda al visitante y puede facilitar exposiciones accidentales si se añaden endpoints futuros bajo la misma política.

• Una prueba que rechace wildcard CORS en la configuración de cabeceras estáticas.
• Un paso de build que publique sitemap y robots.
• Una verificación de preview que confirme renderizado y metadata en páginas críticas.
• Una comprobación de respuesta viva tras el despliegue en dominios de producción.