Verificador de Cabeceras de Seguridad

Verifica una URL en busca de cabeceras de seguridad faltantes o riesgosas (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) y analiza los indicadores de cookies (Secure, HttpOnly, SameSite). Sigue redirecciones hasta el destino final, exporta informes JSON/PDF y obtén recomendaciones de endurecimiento accionables.

Loading…

Acerca de Comprobador de Cabeceras de Seguridad

La seguridad web moderna se aplica en gran medida mediante cabeceras de respuesta HTTP. Esta herramienta obtiene una URL (siguiendo redirecciones opcionalmente) y audita las cabeceras clave de endurecimiento que reducen problemas de XSS, clickjacking, sniffing MIME, transporte inseguro y aislamiento entre orígenes. También revisa los atributos Set-Cookie para detectar brechas comunes como la falta de Secure/HttpOnly/SameSite, o SameSite=None sin Secure.

Características

  • Sigue redirecciones para auditar el destino HTTPS final (recomendado para implementaciones en entornos reales).
  • Verifica las cabeceras de endurecimiento requeridas: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Verifica las cabeceras modernas recomendadas: COOP, COEP, CORP, Origin-Agent-Cluster y señales de endurecimiento adicionales cuando están presentes.
  • Análisis de cookies para indicadores Set-Cookie: Secure, HttpOnly, SameSite; advierte sobre SameSite=None sin Secure.
  • Análisis CSP: resalta unsafe-inline, unsafe-eval, fuentes comodín, directivas defensivas faltantes (default-src, object-src, base-uri, frame-ancestors) y advertencias de solo informe.
  • Señala cabeceras obsoletas o riesgosas (p. ej., X-XSS-Protection) y cabeceras de fuga de información (p. ej., Server, X-Powered-By).
  • Hallazgos copiables/compartibles para revisiones de seguridad, informes de pentest o tickets de errores.
  • Descarga informes como JSON o PDF para auditorías, evidencia de cumplimiento y seguimiento de regresiones.

🧭 Cómo usarlo for security-headers-checker

1

Pega la URL que deseas auditar

Ingresa la URL completa (preferiblemente https://…). La herramienta evalúa las cabeceras de respuesta devueltas por ese endpoint.

2

Activa “Seguir Redirecciones” (recomendado)

Muchos sitios redirigen http→https y non-www→www (o viceversa). Seguir redirecciones audita el destino final al que realmente llegan usuarios y bots.

3

Elige si mostrar las cabeceras en bruto

Activa “Mostrar Cabeceras en Bruto” si deseas las líneas originales de cabeceras para depuración (ideal para CDN, proxies inversos y configuraciones predeterminadas de frameworks).

4

Revisa los hallazgos y prioriza las correcciones

Concéntrate primero en la seguridad del transporte (HSTS), anti-XSS (CSP), protección contra clickjacking (protecciones de marcos), indicadores de cookies y aislamiento entre orígenes (COOP/COEP/CORP) cuando sea aplicable.

5

Exporta un informe para seguimiento

Descarga JSON/PDF para adjuntar a tickets, comparar cambios a lo largo del tiempo o agregar verificaciones al CI para regresiones.

Especificaciones técnicas

Qué verifica esta herramienta

El comprobador se centra en cabeceras de respuesta modernas y de alto impacto, y en atributos de cookies utilizados para controles de seguridad aplicados por el navegador.

ÁreaSeñales verificadasPor qué es importante
Seguridad del transporteStrict-Transport-Security (HSTS)Impone HTTPS y ayuda a prevenir el SSL stripping en visitas posteriores.
Mitigación de XSSContent-Security-Policy (CSP) + errores comunesRestringe fuentes de scripts/estilos y reduce el impacto del XSS cuando se configura correctamente.
ClickjackingX-Frame-Options y/o CSP frame-ancestorsEvita que tus páginas sean enmarcadas por otros orígenes.
Detección de MIMEX-Content-Type-Options: nosniffImpide que los navegadores adivinen tipos de contenido de manera riesgosa.
Filtración de referenteReferrer-PolicyControla cuánta información del referente se envía a otros sitios.
Control de permisosPermissions-PolicyRestringe funciones potentes (cámara, micrófono, geolocalización, etc.) a nivel del navegador.
Aislamiento de origen cruzadoCOOP / COEP / CORP (y relacionados)Necesario para aislamiento de seguridad avanzado y algunas API de alto rendimiento.
CookiesBanderas Set-Cookie: Secure, HttpOnly, SameSiteReduce el riesgo de robo de sesión y mitiga CSRF cuando se configura correctamente.
Riesgosos/obsoletosX-XSS-Protection, Server, X-Powered-By (cuando están presentes)Controles obsoletos o filtraciones de información que pueden ayudar a atacantes.

Comportamiento y límites de solicitudes

La auditoría se ejecuta en el servidor y puede seguir redirecciones para coincidir con el comportamiento real de navegación.

ConfiguraciónComportamientoPredeterminado
Seguir RedireccionesSigue hasta un número limitado de redireccionesHabilitado
Máximo de RedireccionesMáximo de redirecciones cuando el seguimiento está habilitado10
Tiempo de esperaTiempo de espera de la solicitud15000 ms
User-AgentEncabezado de identificación de solicitudEncode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Redes privadasBloquea objetivos de red privadaNo permitido

Interpretar los resultados correctamente

Un escaneo de encabezados "aprobado" no es lo mismo que "seguro". Los encabezados son una capa. El objetivo es reducir el radio de impacto de clases comunes de problemas y aplicar configuraciones predeterminadas más seguras en el navegador.

Usa este informe como una lista de verificación base para el fortalecimiento. Aún así, audita la autenticación, autorización, validación de entrada, vulnerabilidades de dependencias y configuración del servidor.

Línea de comandos

Usa curl para replicar lo que hace el verificador y validar encabezados rápidamente durante la depuración o CI.

macOS / Linux

Obtener encabezados de respuesta

curl -I [https://example.com](https://example.com)

Muestra los encabezados de nivel superior devueltos por el endpoint.

Seguir redirecciones y mostrar encabezados

curl -IL [https://example.com](https://example.com)

Útil para confirmar los encabezados del destino final después de las redirecciones.

Inspeccionar líneas Set-Cookie

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Ayuda a verificar los atributos Secure/HttpOnly/SameSite.

Windows (PowerShell)

Obtener encabezados de respuesta

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

Imprime los encabezados devueltos en PowerShell.

Siempre prueba tanto tus páginas HTML como los endpoints críticos de la API: a menudo tienen pilas de middleware diferentes y, por lo tanto, conjuntos de encabezados distintos.

Casos de uso

Línea base de fortalecimiento de seguridad para una aplicación web

Establecer una línea base mínima de encabezados y detectar encabezados faltantes después de implementaciones, cambios en el proxy/CDN o actualizaciones del framework.

  • Verificar que HSTS esté presente en HTTPS de producción
  • Asegurar que las protecciones contra clickjacking estén habilitadas para páginas autenticadas

Revisión de seguridad de cookies y sesiones

Validar que las cookies de sesión se envíen con Secure/HttpOnly/SameSite y detectar configuraciones incorrectas comunes.

  • Detectar SameSite=None sin Secure
  • Confirmar que HttpOnly esté configurado en tokens de sesión

Calidad de CSP y reducción del riesgo de XSS

Identifica patrones de CSP de alto riesgo y prioriza correcciones que reduzcan materialmente el impacto de XSS.

  • Eliminar unsafe-inline y adoptar estrategia de nonce/hash
  • Agregar frame-ancestors y base-uri para configuraciones predeterminadas más robustas

Comprobaciones de regresión en CDN / proxy inverso

Detecta cuando una CDN, balanceador de carga o proxy elimina o duplica encabezados.

  • Verificar que los encabezados de seguridad sobrevivan a cambios en Cloudflare/Varnish/Nginx
  • Asegurar que las redirecciones no eliminen HSTS en el destino final

❓ Frequently Asked Questions

¿Por qué son importantes los encabezados de seguridad?

Imponen controles de seguridad del lado del navegador que reducen el impacto de ataques web comunes como XSS, clickjacking y problemas de contenido mixto o degradación. También establecen configuraciones predeterminadas más seguras para cookies y comportamiento entre orígenes.

¿Debo habilitar "Seguir redirecciones"?

Generalmente sí. Los usuarios reales y los rastreadores terminan en la URL final después de las redirecciones, y es allí donde los encabezados efectivos importan. Las cadenas de redirección pueden ocultar encabezados faltantes en el destino final.

¿Se requiere CSP para cada sitio?

Se recomienda encarecidamente para sitios con sesiones de usuario o contenido dinámico. Incluso un CSP básico puede reducir el riesgo de XSS, pero CSP debe probarse cuidadosamente para evitar interrumpir scripts e integraciones de terceros.

¿Por qué X-XSS-Protection se marca como obsoleto o riesgoso?

Está obsoleto en navegadores modernos y, en algunos casos históricos, podría introducir comportamientos inesperados. Enfócate en CSP y prácticas de codificación segura en su lugar.

¿Cuál es un error común con HSTS?

Habilitar HSTS en HTTPS pero olvidar servir HTTPS consistentemente (o omitirlo en el host canónico). Otro error común es agregar directivas de precarga sin cumplir completamente con los requisitos de precarga.

¿Pueden los encabezados por sí solos asegurar mi aplicación?

No. Los encabezados son una capa de refuerzo. Todavía necesitas codificación segura, gestión de dependencias, corrección en autenticación/autorización y configuración robusta del servidor.

Pro Tips

Best Practice

Audita tanto el HTML de aterrizaje como tus endpoints de API. A menudo tienen middleware diferente y pueden divergir silenciosamente en la cobertura de encabezados.

CI Tip

Ejecuta una verificación de cadena de redirección: confirma que el destino final establezca los encabezados más fuertes (especialmente HSTS y CSP).

Best Practice

Trata las cookies como parte de tu perímetro de seguridad: Secure + HttpOnly + SameSite apropiado debe ser tu configuración predeterminada para las cookies de sesión.

Best Practice

Para CSP, prioriza eliminar unsafe-inline/unsafe-eval y adopta nonces o hashes. Esta suele ser la mayor ganancia de seguridad en el mundo real.

Best Practice

Evita filtrar detalles del servidor. Elimina o minimiza Server / X-Powered-By cuando sea posible para reducir la huella digital.

CI Tip

Añade una prueba de regresión en CI que falle los despliegues si desaparecen cabeceras críticas (los cambios en proxy/CDN causan esto más a menudo de lo que la gente espera).

Additional Resources

Proyecto OWASP de Encabezados Seguros
Documentation
MDN: Política de Seguridad de Contenido (CSP)
Documentation
MDN: Strict-Transport-Security (HSTS)
Documentation
MDN: Set-Cookie
Documentation
MDN: Permissions-Policy
Documentation

Other Tools