Que es un Verificador de Encabezados HTTP?
Un verificador de encabezados HTTP (HTTP header checker) es una herramienta que envia una solicitud a cualquier URL y muestra los encabezados de respuesta HTTP retornados por el servidor. Muestra metadatos como tipo de contenido, reglas de cache, software del servidor y encabezados de seguridad como HSTS, CSP y X-Frame-Options.
Nuestra herramienta tambien asigna una calificacion de seguridad de A a F con recomendaciones especificas para mejorar la proteccion de su sitio. Los encabezados de seguridad son la primera linea de defensa contra ataques como XSS, clickjacking y MIME sniffing.
Verificar encabezados regularmente es esencial para garantizar que su sitio esta protegido y siguiendo las mejores practicas de seguridad web. Combine esta herramienta con nuestro Verificador SSL para una auditoria de seguridad completa.
Encabezados de Seguridad Criticos
Conozca los encabezados de seguridad mas importantes que todo sitio web debe implementar:
Obliga a los navegadores a usar solo HTTPS. Previene ataques de SSL stripping y man-in-the-middle. Recomendado: max-age=31536000; includeSubDomains; preload.
Controla que recursos (scripts, estilos, imagenes) pueden cargarse en la pagina. Previene ataques XSS bloqueando scripts no autorizados.
Controla si el sitio puede cargarse en iframes. DENY o SAMEORIGIN previenen ataques de clickjacking.
Previene MIME sniffing con valor 'nosniff'. Obliga a los navegadores a respetar el Content-Type declarado por el servidor.
Controla que informacion de referrer se envia en las solicitudes. 'strict-origin-when-cross-origin' es el valor recomendado.
Restringe APIs del navegador como camara, microfono y geolocalizacion. Limita funcionalidades que su sitio no necesita.
Sistema de Calificacion de Seguridad
Nuestro sistema de calificacion evalua seis encabezados criticos con puntuacion ponderada para dar una nota general de seguridad:
Excelente seguridad con todos los headers criticos configurados correctamente. HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy presentes.
Buena seguridad con pequenas brechas. Puede faltar un header recomendado o tener configuracion suboptima en algun header critico.
Proteccion moderada que necesita mejoras. Faltan uno o dos headers importantes. Vulnerable a ciertos tipos de ataques.
Seguridad debil o critica. Multiples headers de seguridad ausentes. Requiere atencion inmediata para proteger a los visitantes.
Por Que Importan los Encabezados de Seguridad
Los encabezados de seguridad son esenciales para proteger su sitio web y sus visitantes:
Prevencion de XSS: Content-Security-Policy bloquea la ejecucion de scripts maliciosos inyectados en su sitio. Es la defensa mas eficaz contra cross-site scripting. Sin CSP, un atacante puede inyectar JavaScript que robe cookies, credenciales o datos de formularios.
Proteccion contra clickjacking: X-Frame-Options impide que su sitio sea cargado en iframes de sitios maliciosos, previniendo que los usuarios sean enganados para hacer clic en elementos invisibles.
Forzar HTTPS: HSTS garantiza que toda comunicacion use HTTPS, previniendo ataques de downgrade e interceptacion de trafico. Verifique su configuracion SSL completa con nuestro Verificador SSL.
Confianza y SEO: Sitios con encabezados de seguridad bien configurados transmiten confianza y pueden recibir beneficios de posicionamiento en Google.
Encabezados de Respuesta HTTP Comunes
Ademas de los encabezados de seguridad, los servidores envian otros headers informativos importantes:
Server (software del servidor), X-Powered-By (framework/lenguaje), Via (proxies intermedios). Revele la minima informacion posible para reducir la superficie de ataque.
Content-Type (tipo MIME), Content-Length (tamano), Content-Encoding (compresion como gzip/brotli). Fundamentales para que el navegador procese correctamente las respuestas.
Cache-Control (reglas de cache), ETag (validacion), Expires (expiracion). Una correcta configuracion de cache mejora significativamente el rendimiento del sitio.
Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers. Controlan que dominios pueden hacer solicitudes a su API.
Como Agregar Encabezados de Seguridad
Los encabezados de seguridad pueden agregarse de varias formas dependiendo de su servidor o plataforma:
Nginx
Agregue directivas add_header en el bloque server. Ejemplo: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Apache (.htaccess)
Use Header set en el archivo .htaccess. Ejemplo: Header set X-Frame-Options "DENY". Requiere que mod_headers este habilitado.
Cloudflare
Use Transform Rules para agregar headers de respuesta personalizados a todas las solicitudes que pasen por Cloudflare. No requiere cambios en el servidor de origen.
Next.js / Vercel
Configure headers en next.config.js con la propiedad headers() o en vercel.json con reglas de ruta para aplicar headers a paginas especificas.
Precauciones al Configurar CSP
Content-Security-Policy es el header mas poderoso pero tambien el que requiere mas cuidado al implementar:
Comience con CSP en modo report-only (Content-Security-Policy-Report-Only) para identificar violaciones antes de aplicar la politica. Una CSP demasiado restrictiva puede bloquear scripts, estilos y recursos legitimos, causando que funcionalidades del sitio dejen de funcionar.
Otros headers como HSTS, X-Frame-Options, X-Content-Type-Options y Referrer-Policy son generalmente seguros y raramente causan problemas cuando se configuran correctamente. Recomendamos implementarlos primero y dejar CSP para el final. Puede verificar el resultado con nuestra herramienta y con el Verificador de Redirecciones para confirmar que la cadena HTTPS funciona correctamente.
Herramientas de Red y Seguridad Relacionadas
Explore nuestras otras herramientas gratuitas para seguridad y analisis de sitios web:
Verifique certificado SSL, protocolo TLS y cadena de certificados.
Rastree cadenas de redireccion 301/302 de cualquier URL.
Encuentre todos los enlaces internos y externos en cualquier pagina.
Verifique registros SPF para autenticacion de correo electronico.
Verifique registros DNS y propagacion global del dominio.
Pruebe latencia y conectividad hacia cualquier host.