Verificador de security.txt
🔍 Inspecciona los encabezados de respuesta HTTP de cualquier URL pública y obtén información instantánea sobre seguridad, rendimiento y SEO. Visualiza CSP, HSTS, cookies, CORS, caché y comportamiento de redirección de un vistazo – sin inicio de sesión, sin clave API, sin instalación.
Qué Puede Hacer Esta Herramienta de Encabezados HTTP
- Categoriza los encabezados en grupos de seguridad, rendimiento, SEO, obsoletos y otros para un escaneo más rápido
- Calcula puntuaciones simples para encabezados generales, de seguridad, rendimiento y SEO para mostrar tu situación de un vistazo
- Destaca encabezados de seguridad como CSP, HSTS, Referrer-Policy, X-Frame-Options, COOP/COEP/CORP y Origin-Agent-Cluster
- Analiza los indicadores de Set-Cookie para detectar atributos Secure, HttpOnly o SameSite faltantes
- Detecta encabezados obsoletos o riesgosos como X-XSS-Protection, X-Powered-By y banners Server que filtran detalles de implementación
- Ayuda a ajustar encabezados de rendimiento como Cache-Control, Content-Encoding, ETag, Last-Modified y Server-Timing
- Muestra encabezados relacionados con SEO como Link (canonical/alternate) y X-Robots-Tag, además de Content-Language cuando está presente
- Sin cuenta, sin clave API – solo pega una URL pública, inspecciona los encabezados e itera en tu configuración
🛠️ Cómo Usar el Visor de Encabezados HTTP for security-txt-checker
1. Ingresa la URL
🔗 Pega cualquier URL HTTP o HTTPS válida en el campo de entrada. Los endpoints públicos o las APIs expuestas públicamente funcionan mejor.
2. Obtén las cabeceras
🌐 El backend solicita la URL y recopila las cabeceras de respuesta, siguiendo redirecciones cuando es posible. Solo se inspeccionan las cabeceras y metadatos básicos, no el cuerpo HTML completo.
3. Revisa las categorías y puntuaciones
🧠 Las cabeceras se agrupan en categorías de seguridad, rendimiento, SEO, cookies, obsoletas y otras. La herramienta deriva puntuaciones, problemas, advertencias y recomendaciones de tu configuración de cabeceras.
4. Corrige y vuelve a probar
🔁 Ajusta la configuración de tu servidor, CDN o proxy inverso, luego vuelve a ejecutar la verificación hasta que las puntuaciones y advertencias coincidan con tus objetivos. Úsalo como un ciclo de retroalimentación rápida cada vez que modifiques la infraestructura.
Detalles Técnicos
Manejo de Solicitud y Respuesta
La herramienta se centra en las cabeceras de respuesta y los metadatos básicos de conexión, en lugar del contenido completo de la página.
| Aspecto | Comportamiento | Notas |
|---|---|---|
| Método HTTP | HEAD o GET (depende de la implementación) | Solo se inspeccionan las cabeceras; los cuerpos se ignoran a menos que se requiera un respaldo GET. |
| Redirecciones | Cadena de redirección registrada cuando está disponible | Útil para depurar cadenas 301/302, destinos canónicos y saltos mal configurados. |
| Versión HTTP | Capturada cuando se proporciona | Ayuda a identificar configuraciones HTTP/1.1 vs HTTP/2/3 y posibles oportunidades de actualización. |
| Banner del servidor | Leído desde la cabecera Server | Se usa para advertir sobre posibles fugas de información (framework, versión). |
| Manejo de errores | Campo de error mostrado por separado | Si la obtención falla, aún obtienes un estado de error legible en lugar de un bloqueo. |
Clasificación y Análisis de Cabeceras
Las cabeceras se normalizan y luego se analizan en grupos tipificados con verificaciones y sugerencias dedicadas.
| Categoría | Cabeceras Típicas | Verificaciones e Información |
|---|---|---|
| Seguridad | Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Cluster | Valida la presencia, señala directivas débiles o faltantes, detecta patrones CSP inseguros y orígenes de desarrollo. |
| Rendimiento | Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timing | Verifica sugerencias de caché, compresión, soporte de rangos de bytes y encabezados Link relacionados con el rendimiento. |
| SEO | Link (canonical/alternate), X-Robots-Tag, Content-Language | Detecta sugerencias canónicas/alternativas y directivas de robots a nivel de encabezado, además de metadatos de idioma cuando están presentes. |
| Cookies | Set-Cookie | Escanea los atributos Secure, HttpOnly, SameSite y advierte cuando faltan banderas o parecen débiles. |
| Obsoleto | X-XSS-Protection, Public-Key-Pins, variantes CSP heredadas | Señala encabezados que deben eliminarse o reemplazarse con alternativas modernas. |
Modelo de Puntuación
Las puntuaciones son heurísticas, no una auditoría de seguridad completa, pero ayudan a priorizar el trabajo y comparar entornos.
| Puntuación | Lo que Mide | Cómo se Calcula |
|---|---|---|
| Puntuación general | Higiene general de encabezados | Proporción entre todos los encabezados ponderados – principalmente basada en presencia con ponderación leve. |
| Puntuación de seguridad | Refuerzo relacionado con la seguridad | Ponderación de CSP, HSTS, control de framing, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP y Origin-Agent-Cluster. |
| Puntuación de rendimiento | Eficiencia de caché y transferencia | Ponderación de Cache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Server-Timing y uso de Link relacionado con el rendimiento. |
| Puntuación SEO | Señales SEO a nivel de encabezado | Ponderación de X-Robots-Tag, encabezados Link canónicos/alternativos y Content-Language cuando están presentes. |
Alternativas CLI para Inspección de Encabezados
¿Prefieres la terminal o integrar verificaciones de encabezados en CI/CD? Usa estos comandos como complementos locales para esta herramienta:
Linux/macOS
Ver encabezados de respuesta usando curl
curl -I https://example.comEnvía una solicitud HEAD e imprime los encabezados de respuesta para una verificación rápida.
Salida detallada con encabezados y negociación TLS
curl -v https://example.comÚtil para depurar redirecciones, configuración TLS y detalles de conexión.
Windows (PowerShell)
Obtener e inspeccionar encabezados con Invoke-WebRequest
(Invoke-WebRequest -Uri https://example.com).HeadersMuestra los encabezados como un objeto de PowerShell, listo para filtrado adicional o scripting.
Aplicaciones Prácticas
Revisión de Encabezados de Seguridad
- Verificar la ausencia de encabezados CSP, HSTS, Referrer-Policy o Permissions-Policy en endpoints clave.
- Detectar directivas CSP inseguras como 'unsafe-inline' sin nonces o hashes.
- Identificar cookies que carecen de atributos Secure o SameSite y planificar correcciones para fortalecer la sesión.
Diagnóstico de Rendimiento y Caché
- Inspeccionar la configuración de Cache-Control, ETag y Content-Encoding en rutas estáticas y dinámicas.
- Verificar la presencia de sugerencias de rendimiento como encabezados Link de preload o preconnect desde tu CDN.
- Comparar encabezados relacionados con el rendimiento entre entornos de staging, preview y producción.
Análisis de SEO y Cadenas de Redirección
- Inspeccionar cadenas de redirección 301/302 y confirmar que la URL de destino final sea canónica y segura.
- Verificar encabezados Link canónicos y alternativos en páginas HTML o versiones localizadas.
- Validar directivas X-Robots-Tag para indexación, comportamiento de snippets y manejo de medios.
❓ Frequently Asked Questions
❓¿Qué son los encabezados de respuesta HTTP y por qué son importantes?
HTTP son pares clave-valor enviados por el servidor antes del cuerpo. Controlan el almacenamiento en caché, políticas de seguridad, redirecciones, CORS, cookies y cómo los navegadores y rastreadores interpretan tu sitio. Configurarlos correctamente es crucial para la seguridad, el rendimiento y el SEO.🔒¿Se almacenan en algún lugar las URL que pruebo?
🧪¿Puedo usar esto para inspeccionar respuestas de API?
API sea públicamente accesible desde el servidor que realiza la solicitud. Esto es especialmente útil para inspeccionar encabezados CORS, indicios de limitación de tasa, comportamiento de caché y tipos de contenido en APIs JSON o XML.🕵️♂️¿Funciona para páginas detrás de autenticación?
📈¿La puntuación es una auditoría de seguridad completa?
Pro Tips
Compara las cabeceras entre los entornos de staging, vista previa y producción para detectar la falta de endurecimiento de seguridad o reglas de caché en un entorno.
Trata las cabeceras Server y X-Powered-By como fugas de información – elimínalas o minimízalas en producción siempre que sea posible.
Ajusta primero Cache-Control y Content-Encoding para los recursos estáticos – a menudo ofrecen las mayores mejoras de rendimiento con un riesgo mínimo.
Ejecuta esta herramienta después de cada cambio importante en la infraestructura (CDN, proxy inverso, descarga TLS, nuevo host) para confirmar que las cabeceras siguen siendo correctas.
Additional Resources
Other Tools
- Embellecedor CSS
- Embellecedor HTML
- Embellecedor JavaScript
- Embellecedor PHP
- Selector de Color
- Extractor de Sprites
- Codificador Binario Base32
- Decodificador Base32
- Codificador Base32
- Codificador Binario Base58
- Decodificador Base58
- Codificador Base58
- Codificador Binario Base62
- Decodificador Base62
- Codificador Base62
- Codificador Binario Base64
- Decodificador Base64
- Codificador Base64
- Codificador Binario Hexadecimal
- Decodificador Hexadecimal
- Codificador Hexadecimal
- Formateador C#
- Formateador CSV
- Dockerfile Formatter
- Formateador Elm
- Formateador ENV
- Formateador Go
- Formateador GraphQL
- Formateador HCL
- Formateador INI
- Formateador JSON
- Formateador LaTeX
- Formateador Markdown
- Formateador Objective-C
- Php Formatter
- Formateador Proto
- Formateador Python
- Formateador Ruby
- Formateador Rust
- Formateador Scala
- Formateador de Scripts de Shell
- Formateador SQL
- Formateador SVG
- Formateador Swift
- Formateador TOML
- Typescript Formatter
- Formateador XML
- Formateador YAML
- Formateador Yarn
- Minificador CSS
- Html Minifier
- Javascript Minifier
- Minificador JSON
- Minificador XML
- Cache Headers Analyzer
- Cors Checker
- Csp Analyzer
- Dns Records Lookup
- Visor de Encabezados HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF a Texto
- Probador de Expresiones Regulares
- Verificador de Posición en SERP
- Consulta Whois