Chequeador de Encabezados HTTP de Seguridad
Pega encabezados de respuesta o la salida de curl -I para revisar encabezados de seguridad comunes localmente, incluyendo CSP, HSTS y COOP.
Pega encabezados de respuesta o la salida de curl -I. Si se incluyen redirecciones, se puntúa el último bloque de respuesta.
Pega encabezados de respuesta HTTP sin procesar o la salida de curl -I
¿Qué es un verificador de cabeceras de seguridad HTTP?
Un verificador de cabeceras de seguridad HTTP analiza las cabeceras de respuesta de un sitio web para evaluar su configuración de seguridad. Los navegadores modernos soportan múltiples cabeceras de seguridad que protegen contra ataques comunes — Content-Security-Policy previene cross-site scripting, Strict-Transport-Security impone HTTPS, X-Frame-Options bloquea ataques de clickjacking y Permissions-Policy controla el acceso a las APIs del navegador. Esta herramienta busca estas cabeceras y reporta cuáles están presentes, cuáles faltan y si los valores siguen las mejores prácticas recomendadas. La herramienta proporciona una puntuación general y recomendaciones concretas para cada cabecera faltante o mal configurada.
Cómo usar el verificador de cabeceras de seguridad HTTP
Ingresa la URL de un sitio web y haz clic en analizar. La herramienta obtiene las cabeceras de respuesta del sitio y las analiza contra las mejores prácticas de seguridad. Cada cabecera de seguridad recibe una calificación — presente y bien configurada, presente pero débil, o ausente. El resumen muestra tu puntuación general de seguridad y lista las mejoras priorizadas. Para cada cabecera faltante, la herramienta proporciona el valor de cabecera exacto recomendado que puedes copiar a tu configuración de servidor. Ejecuta el verificador después de cada cambio de despliegue para asegurar que las cabeceras de seguridad no se eliminen accidentalmente por los cambios de configuración del servidor.
Por qué importan las cabeceras de seguridad HTTP
Las cabeceras de seguridad HTTP son una de las medidas de seguridad más fáciles de implementar y más efectivas para los sitios web. Funcionan instruyendo al navegador para que aplique políticas de seguridad automáticamente — no se requiere código de aplicación. Sin embargo, muchos sitios las omiten porque no causan errores funcionales visibles cuando faltan. Un sitio sin Content-Security-Policy es vulnerable a ataques XSS. Sin Strict-Transport-Security, los usuarios pueden ser degradados a HTTP y ser interceptados. Sin X-Frame-Options, tu sitio puede ser incrustado en un iframe malicioso para ataques de clickjacking. Estas cabeceras toman minutos en configurar y protegen a todos los visitantes automáticamente.
Preguntas Frecuentes
¿Puedo pegar encabezados de localhost o staging?
Sí. Esta herramienta está hecha para modo pegar, así puedes revisar encabezados de localhost, staging interno o cualquier entorno privado sin exponer la URL.
¿Por qué no hacer fetch a la URL directamente?
Hacer fetch de una URL fallaría en muchos entornos privados y podría filtrar endpoints internos. El modo pegar mantiene el flujo privado y funciona donde sea que curl o las devtools del navegador puedan copiar encabezados.
¿Un puntaje alto garantiza seguridad?
No. El chequeador resalta encabezados de respuesta comunes y errores de configuración frecuentes, pero no es una auditoría completa de seguridad de aplicaciones.
Usa esta herramienta dentro de un flujo más grande
Estas colecciones agrupan herramientas y guías que suelen formar parte del mismo trabajo.
Explorar etiquetas relacionadas
Salta a otras herramientas que comparten el mismo flujo, formato o caso de uso.