Reforzado en el edge.
Cada respuesta envía cabeceras de seguridad estrictas — aplicadas por Cloudflare en el dominio de producción, no solo prometidas en una política.
Seguridad de transporte
HSTS · 1y · includeSubDomains · preload
Política de seguridad de contenido
CSP · script-src 'self' (no inline) · object-src 'none' · frame-ancestors 'none'
Clickjacking
X-Frame-Options: DENY
Sniffing de MIME
X-Content-Type-Options: nosniff
Referente
Referrer-Policy: strict-origin-when-cross-origin
Funciones del navegador
Permissions-Policy · ~20 features denied
Cabeceras de respuesta en vivo, medidas en el dominio de producción.