Visor de Encabezados HTTP
Qué Puede Hacer Esta Herramienta de Encabezados HTTP
- Categoriza encabezados en seguridad, rendimiento, SEO, obsoletos y otros grupos para un escaneo más rápido
- Calcula puntuaciones simples para encabezados generales, de seguridad, rendimiento y SEO para mostrar tu situación de un vistazo
- Destaca encabezados de seguridad como CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP y Origin-Agent-Cluster
- Analiza indicadores de Set-Cookie para detectar atributos Secure, HttpOnly o SameSite faltantes
- Detecta encabezados obsoletos o riesgosos como X-XSS-Protection, X-Powered-By y banners Server que filtran detalles de implementación
- Ayuda a ajustar encabezados de rendimiento como Cache-Control, Content-Encoding, ETag, Last-Modified y Server-Timing
- Muestra encabezados relacionados con SEO como Link (canonical/alternate) y X-Robots-Tag, además de Content-Language cuando está presente
- Sin cuenta, sin clave API – solo pega una URL pública, inspecciona los encabezados y itera en tu configuración
🛠️ Cómo Usar el Visor de Encabezados HTTP for http-headers-viewer
1. Ingresa la URL
🔗 Pega cualquier URL HTTP o HTTPS válida en el campo de entrada. Los endpoints públicos o las API expuestas públicamente funcionan mejor.
2. Obtén los encabezados
🌐 El backend solicita la URL y recoge los encabezados de respuesta, siguiendo redirecciones cuando es posible. Solo se inspeccionan los encabezados y metadatos básicos, no el cuerpo HTML completo.
3. Revisa categorías y puntuaciones
🧠 Los encabezados se agrupan en seguridad, rendimiento, SEO, cookies, obsoletos y otras categorías. La herramienta deriva puntuaciones, problemas, advertencias y recomendaciones de tu configuración de encabezados.
4. Corrige y vuelve a probar
🔁 Ajusta la configuración de tu servidor, CDN o proxy inverso, luego vuelve a ejecutar la verificación hasta que las puntuaciones y advertencias coincidan con tus objetivos. Úsalo como un ciclo de retroalimentación rápida cada vez que modifiques la infraestructura.
Detalles Técnicos
Manejo de Solicitud y Respuesta
La herramienta se centra en los encabezados de respuesta y metadatos básicos de conexión en lugar del contenido completo de la página.
| Aspecto | Comportamiento | Notas |
|---|---|---|
| Método HTTP | HEAD o GET (depende de la implementación) | Solo se inspeccionan los encabezados; los cuerpos se ignoran a menos que se requiera un respaldo GET. |
| Redirecciones | Cadena de redirecciones registrada cuando está disponible | Útil para depurar cadenas 301/302, destinos canónicos y saltos mal configurados. |
| Versión HTTP | Capturada cuando se proporciona | Ayuda a identificar configuraciones HTTP/1.1 vs HTTP/2/3 y posibles oportunidades de actualización. |
| Banner del servidor | Leído del encabezado Server | Se usa para advertir sobre posibles fugas de información (framework, versión). |
| Manejo de errores | Campo de error mostrado por separado | Si la obtención falla, aún obtienes un estado de error legible en lugar de un bloqueo. |
Clasificación y Análisis de Encabezados
Los encabezados se normalizan y luego se analizan en categorías tipificadas con verificaciones y sugerencias dedicadas.
| Categoría | Encabezados Típicos | Verificaciones e Información |
|---|---|---|
| Seguridad | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | Valida la presencia, señala directivas débiles o faltantes, detecta patrones CSP inseguros y orígenes de desarrollo. |
| Rendimiento | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | Verifica sugerencias de caché, compresión, soporte de rangos de bytes y encabezados Link relacionados con el rendimiento. |
| SEO | Link (canonical/alternate), X-Robots-Tag, Content-Language | Detecta sugerencias canónicas/alternativas y directivas de robots a nivel de encabezado, además de metadatos de idioma donde estén presentes. |
| Cookies | Set-Cookie | Escanea los atributos Secure, HttpOnly, SameSite y advierte cuando faltan banderas o parecen débiles. |
| Obsoletos | X-XSS-Protection, Public-Key-Pins, variantes antiguas de CSP | Señala encabezados que deben eliminarse o reemplazarse con alternativas modernas. |
Modelo de Puntuación
Las puntuaciones son heurísticas, no una auditoría de seguridad completa, pero ayudan a priorizar el trabajo y comparar entornos.
| Puntuación | Lo que Mide | Cómo se Calcula |
|---|---|---|
| Puntuación general | Higiene general de encabezados | Proporción entre todos los encabezados ponderados – principalmente basada en presencia con ponderación leve. |
| Puntuación de seguridad | Refuerzo relacionado con la seguridad | Ponderación de CSP, HSTS, control de enmarcado, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP y Origin-Agent-Cluster. |
| Puntuación de rendimiento | Eficiencia de caché y transferencia | Ponderación de Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing y uso de Link relacionado con el rendimiento. |
| Puntuación SEO | Señales SEO a nivel de encabezado | Ponderación de X-Robots-Tag, encabezados Link canónicos/alternativos y Content-Language cuando están presentes. |
Alternativas CLI para Inspección de Encabezados
¿Prefieres la terminal o integrar verificaciones de encabezados en CI/CD? Usa estos comandos como complementos locales para esta herramienta:
Linux/macOS
Ver encabezados de respuesta usando curl
curl -I https://example.comEnvía una solicitud HEAD e imprime los encabezados de respuesta para una verificación rápida.
Salida detallada con encabezados y negociación TLS
curl -v https://example.comÚtil para depurar redirecciones, configuración TLS y detalles de conexión.
Windows (PowerShell)
Obtener e inspeccionar encabezados con Invoke-WebRequest
(Invoke-WebRequest -Uri https://example.com).HeadersMuestra los encabezados como un objeto de PowerShell, listo para filtrado adicional o scripting.
Aplicaciones Prácticas
Revisión de Encabezados de Seguridad
- Verificar la ausencia de encabezados CSP, HSTS, Referrer-Policy o Permissions-Policy en endpoints clave.
- Detectar directivas CSP inseguras como 'unsafe-inline' sin nonces o hashes.
- Identificar cookies que carecen de atributos Secure o SameSite y planificar correcciones para fortalecer las sesiones.
Diagnóstico de Rendimiento y Caché
- Inspeccionar la configuración de Cache-Control, ETag y Content-Encoding en rutas estáticas y dinámicas.
- Verificar la presencia de sugerencias de rendimiento como encabezados Link de preload o preconnect desde tu CDN.
- Comparar encabezados relacionados con el rendimiento entre entornos de staging, preview y producción.
Análisis de SEO y Cadenas de Redirección
- Inspeccionar cadenas de redirección 301/302 y confirmar que la URL final sea canónica y segura.
- Verificar encabezados Link canónicos y alternativos en páginas HTML o versiones localizadas.
- Validar directivas X-Robots-Tag para indexación, comportamiento de snippets y manejo de medios.
❓ Frequently Asked Questions
❓¿Qué son los encabezados de respuesta HTTP y por qué son importantes?
HTTP son pares clave-valor enviados por el servidor antes del cuerpo. Controlan el almacenamiento en caché, políticas de seguridad, redirecciones, CORS, cookies y cómo los navegadores y rastreadores interpretan tu sitio. Configurarlos correctamente es crucial para la seguridad, el rendimiento y el SEO.🔒¿Se almacenan en algún lugar las URL que pruebo?
🧪¿Puedo usar esto para inspeccionar respuestas de API?
API sea públicamente accesible desde el servidor que realiza la solicitud. Esto es especialmente útil para inspeccionar encabezados CORS, sugerencias de limitación de tasa, comportamiento de caché y tipos de contenido en APIs JSON o XML.🕵️♂️¿Funciona para páginas detrás de autenticación?
📈¿La puntuación es una auditoría de seguridad completa?
Pro Tips
Compara las cabeceras entre entornos de staging, vista previa y producción para detectar la falta de endurecimiento de seguridad o reglas de caché en un entorno.
Trata las cabeceras Server y X-Powered-By como fugas de información – elimínalas o minimízalas en producción siempre que sea posible.
Ajusta primero Cache-Control y Content-Encoding para activos estáticos – a menudo ofrecen las mayores mejoras de rendimiento con riesgo mínimo.
Ejecuta esta herramienta después de cada cambio importante en la infraestructura (CDN, proxy inverso, descarga TLS, nuevo host) para confirmar que las cabeceras siguen siendo correctas.
Additional Resources
Other Tools
- Embellecedor CSS
- Embellecedor HTML
- Embellecedor JavaScript
- Embellecedor PHP
- Selector de Color
- Extractor de Sprites
- Decodificador Base64
- Codificador Base64
- Formateador C#
- Formateador CSV
- Dockerfile Formatter
- Formateador Elm
- Formateador ENV
- Formateador Go
- Formateador GraphQL
- Formateador HCL
- Formateador INI
- Formateador JSON
- Formateador LaTeX
- Formateador Markdown
- Formateador Objective-C
- Php Formatter
- Formateador Proto
- Formateador Python
- Formateador Ruby
- Formateador Rust
- Formateador Scala
- Formateador de Scripts de Shell
- Formateador SQL
- Formateador SVG
- Formateador Swift
- Formateador TOML
- Typescript Formatter
- Formateador XML
- Formateador YAML
- Formateador Yarn
- Minificador CSS
- Html Minifier
- Javascript Minifier
- Minificador JSON
- Minificador XML
- PDF a Texto
- Probador de Expresiones Regulares
- Verificador de Posición en SERP
- Consulta Whois