# Chequeador de Encabezados HTTP de Seguridad

> Chequeador gratuito de encabezados HTTP de seguridad en modo pegar, para localhost, staging y entornos privados. Analiza encabezados sin hacer fetch a una URL pública.

- **Category:** Desarrollador
- **URL:** https://www.teafun.cyou/tools/http-headers-checker/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers
- **Related tools:** [Formateador de Logs](https://www.teafun.cyou/tools/log-formatter/), [Decodificador de JWT](https://www.teafun.cyou/tools/jwt-decoder/), [Formateador y Validador de JSON](https://www.teafun.cyou/tools/json-formatter/)
- **Tags:** Data, Security

## About

Pega encabezados de respuesta o la salida de curl -I para revisar encabezados de seguridad comunes localmente, incluyendo CSP, HSTS y COOP.

## Cómo usar el verificador de cabeceras de seguridad HTTP

Ejecuta `curl -sI https://your.endpoint/` o copia desde DevTools -> Network -> Headers -> Response. Pega el bloque completo incluyendo la línea de estado (`HTTP/2 200`). El verificador tolera redirecciones (`301`/`302`/`307`/`308`) y califica la respuesta final. Cada cabecera se evalúa contra el valor recomendado por OWASP: Aprobada (coincide con recomendación), Advertencia (presente pero débil — p.ej., HSTS `max-age=300` es demasiado corto para ser efectivo), Fallo (faltante o activamente insegura — p.ej., `Access-Control-Allow-Origin: *` con endpoints que requieren credenciales). El informe vincula cada hallazgo a los documentos MDN relevantes y la hoja de trucos OWASP. Una trampa común: establecer tanto `X-Frame-Options: DENY` como `Content-Security-Policy: frame-ancestors 'none'` es redundante pero no incorrecto — `frame-ancestors` prevalece en navegadores modernos, X-Frame-Options permanece para legado. CSP `'unsafe-inline'` en `script-src` derrota la política para protección XSS; marcado como Fallo incluso si el resto de CSP es sólido.

## Por qué importan las cabeceras de seguridad HTTP

Las cabeceras de seguridad faltantes son el hallazgo más común en pruebas de penetración porque son invisibles: un sitio puede servir el HTML correcto y aún así fallar una auditoría porque las cabeceras de respuesta son incorrectas. PCI DSS 4.0 (marzo 2025), SOC 2 Trust Service Criteria, e ISO 27001:2022 Annex A 8.26 todas marcan CSP / HSTS / X-Frame-Options faltantes como brechas de control. El costo de reparación es una línea en tu proxy inverso (`add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;` en nginx, un bloque en `vercel.json` headers, tres líneas en Cloudflare Workers) — pero no se descubre hasta que un auditor o un comunicado de seguridad de un competidor lo saca a la luz. La verificación de cabeceras integrada en CI detecta regresiones: un despliegue que voltea tu CSP de `default-src 'self'` a `default-src *` porque alguien depurando copió-pegó la regla incorrecta. Ejecutar las cabeceras a través de este verificador antes de fusionar el PR de despliegue detecta la diferencia.

_SEO title: Chequeador de Encabezados HTTP de Seguridad – Modo Pegar | TeaFun_

## FAQ

### ¿Puedo pegar encabezados de localhost o staging?

Sí. Esta herramienta está hecha para modo pegar, así puedes revisar encabezados de localhost, staging interno o cualquier entorno privado sin exponer la URL.

### ¿Por qué no hacer fetch a la URL directamente?

Hacer fetch de una URL fallaría en muchos entornos privados y podría filtrar endpoints internos. El modo pegar mantiene el flujo privado y funciona donde sea que curl o las devtools del navegador puedan copiar encabezados.

### ¿Un puntaje alto garantiza seguridad?

No. El chequeador resalta encabezados de respuesta comunes y errores de configuración frecuentes, pero no es una auditoría completa de seguridad de aplicaciones.