Chequeador de Encabezados HTTP de Seguridad
Pega encabezados de respuesta o la salida de curl -I para revisar encabezados de seguridad comunes localmente, incluyendo CSP, HSTS y COOP.
Pega encabezados de respuesta o la salida de curl -I. Si se incluyen redirecciones, se puntúa el último bloque de respuesta.
0 octets
Pega encabezados de respuesta HTTP sin procesar o la salida de curl -I
Acabas de probar Chequeador de Encabezados HTTP de Seguridad — Prueba Formateador de Logs a continuación →
¿Qué es un verificador de cabeceras de seguridad HTTP?
Las cabeceras de seguridad HTTP le dicen al navegador cómo manejar solicitudes de origen cruzado, ejecución de scripts, contenido mixto y contextos integrados — son el endurecimiento más barato que puedes enviar porque el único costo es una edición de configuración. El verificador califica según las recomendaciones del OWASP Secure Headers Project y la rúbrica del Mozilla Observatory. Cabeceras clave que evalúa: Content-Security-Policy (lista blanca de orígenes permitidos de script/estilo/img; la línea de base default-src 'self' bloquea la mayoría de XSS), Strict-Transport-Security (HSTS — fuerza HTTPS por max-age segundos; valores >=31536000 con includeSubDomains; preload califican para la lista de precarga HSTS en hstspreload.org integrada en Chrome / Firefox / Safari), X-Content-Type-Options: nosniff (evita que los navegadores olfateen .txt como HTML), X-Frame-Options: DENY / CSP frame-ancestors (anti-clickjacking — frame-ancestors es el equivalente CSP moderno y anula X-Frame-Options), Referrer-Policy (controla qué Origin/ruta se filtra a terceros), Permissions-Policy (anteriormente Feature-Policy — optar por no usar cámara, micrófono, geolocalización), y el trío Cross-Origin Isolation COOP / COEP / CORP que controla SharedArrayBuffer y temporizadores de alta resolución. A diferencia de los escáneres basados en URL (securityheaders.com, Mozilla Observatory), esta herramienta acepta cabeceras pegadas desde curl -I o DevTools, por lo que los endpoints internos detrás de VPN o localhost aún se califican sin exponerlos.
Cómo usar el verificador de cabeceras de seguridad HTTP
Ejecuta curl -sI https://your.endpoint/ o copia desde DevTools -> Network -> Headers -> Response. Pega el bloque completo incluyendo la línea de estado (HTTP/2 200). El verificador tolera redirecciones (301/302/307/308) y califica la respuesta final. Cada cabecera se evalúa contra el valor recomendado por OWASP: Aprobada (coincide con recomendación), Advertencia (presente pero débil — p.ej., HSTS max-age=300 es demasiado corto para ser efectivo), Fallo (faltante o activamente insegura — p.ej., Access-Control-Allow-Origin: * con endpoints que requieren credenciales). El informe vincula cada hallazgo a los documentos MDN relevantes y la hoja de trucos OWASP. Una trampa común: establecer tanto X-Frame-Options: DENY como Content-Security-Policy: frame-ancestors 'none' es redundante pero no incorrecto — frame-ancestors prevalece en navegadores modernos, X-Frame-Options permanece para legado. CSP 'unsafe-inline' en script-src derrota la política para protección XSS; marcado como Fallo incluso si el resto de CSP es sólido.
Por qué importan las cabeceras de seguridad HTTP
Las cabeceras de seguridad faltantes son el hallazgo más común en pruebas de penetración porque son invisibles: un sitio puede servir el HTML correcto y aún así fallar una auditoría porque las cabeceras de respuesta son incorrectas. PCI DSS 4.0 (marzo 2025), SOC 2 Trust Service Criteria, e ISO 27001:2022 Annex A 8.26 todas marcan CSP / HSTS / X-Frame-Options faltantes como brechas de control. El costo de reparación es una línea en tu proxy inverso (add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; en nginx, un bloque en vercel.json headers, tres líneas en Cloudflare Workers) — pero no se descubre hasta que un auditor o un comunicado de seguridad de un competidor lo saca a la luz. La verificación de cabeceras integrada en CI detecta regresiones: un despliegue que voltea tu CSP de default-src 'self' a default-src * porque alguien depurando copió-pegó la regla incorrecta. Ejecutar las cabeceras a través de este verificador antes de fusionar el PR de despliegue detecta la diferencia.
Preguntas Frecuentes
¿Puedo pegar encabezados de localhost o staging?
Sí. Esta herramienta está hecha para modo pegar, así puedes revisar encabezados de localhost, staging interno o cualquier entorno privado sin exponer la URL.
¿Por qué no hacer fetch a la URL directamente?
Hacer fetch de una URL fallaría en muchos entornos privados y podría filtrar endpoints internos. El modo pegar mantiene el flujo privado y funciona donde sea que curl o las devtools del navegador puedan copiar encabezados.
¿Un puntaje alto garantiza seguridad?
No. El chequeador resalta encabezados de respuesta comunes y errores de configuración frecuentes, pero no es una auditoría completa de seguridad de aplicaciones.
Usa esta herramienta dentro de un flujo más grande
Estas colecciones agrupan herramientas y guías que suelen formar parte del mismo trabajo.
Explorar etiquetas relacionadas
Salta a otras herramientas que comparten el mismo flujo, formato o caso de uso.