Diagnósticos rápidos de dispositivos

Verificador de cabeceras de seguridad: prueba CSP, HSTS, X-Frame-Options y más

Inspecciona las cabeceras de seguridad HTTP de un sitio público y revisa CSP, HSTS, protección contra clickjacking, política de referer, permisos y señales de aislamiento cross-origin.

Endurecimiento por cabeceras

Verificador de cabeceras de seguridad

Comprueba las cabeceras HTTP defensivas devueltas por un sitio público.

Listo

El verificador sigue hasta cinco redirecciones públicas y evalúa la respuesta final.

Resultados de cabeceras

Ejecuta una comprobación para ver los detalles de las cabeceras de seguridad.

Puntuación de cabeceras de seguridadAún no se comprobaron cabeceras--/100

Los hallazgos de cabeceras de seguridad aparecerán aquí tras una comprobación correcta.

Por qué usar un verificador de cabeceras de seguridad online

Un verificador de cabeceras de seguridad online ayuda a confirmar qué defensas HTTP devuelve una página pública ahora mismo. Estas cabeceras no sustituyen el trabajo de seguridad de la aplicación, pero reducen la exposición a riesgos habituales del navegador como clickjacking, MIME sniffing, referers demasiado amplios, reglas débiles de frame y falta de refuerzo de HTTPS.

Cómo se ejecuta la prueba

La herramienta realiza una solicitud HTTP o HTTPS desde el servidor a la URL pública indicada, sigue hasta cinco redirecciones públicas, lee las cabeceras de la respuesta final y evalúa la presencia y calidad básica de las cabeceras de seguridad más comunes. Revisa Strict-Transport-Security, Content-Security-Policy, protección de frames mediante CSP o X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy y Cross-Origin-Resource-Policy.

Cómo interpretar los resultados

Empieza por las cabeceras ausentes marcadas como fallo y luego revisa las advertencias donde existe una cabecera pero puede ser débil para navegadores modernos. Una puntuación alta indica una base sólida en la respuesta final comprobada, mientras que una puntuación baja indica que el servidor, CDN, framework o aplicación debería revisar la configuración.

  • HSTS ayuda a los navegadores a mantener visitas futuras en HTTPS tras una visita segura.
  • CSP limita desde dónde pueden cargarse scripts, estilos, frames, imágenes y otros recursos.
  • La protección de frames ayuda a reducir el riesgo de clickjacking.
  • Referrer-Policy y Permissions-Policy reducen exposición innecesaria de datos del navegador.
  • COOP y CORP ayudan a aislar contextos y recursos cross-origin.

Esta prueba informa las cabeceras devueltas por la respuesta pública final. No audita toda la aplicación, no demuestra que la CSP sea perfecta, no prueba redes privadas ni almacena datos personales.

Herramientas relacionadas

Preguntas frecuentes

¿Qué prueba este verificador de cabeceras de seguridad?

Comprueba las cabeceras HTTP devueltas por una URL pública. El informe se centra en CSP, HSTS, protección de frames, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP y CORP.

¿Cómo funciona el verificador de cabeceras de seguridad?

La herramienta realiza una solicitud desde el servidor a la URL que introduces y lee las cabeceras de respuesta. Después puntúa las cabeceras frente a una base conservadora para controles comunes de seguridad del navegador.

¿Puedo probar un dominio sin escribir el protocolo?

Sí. Si introduces solo un dominio, el verificador usa HTTPS por defecto. También puedes introducir una URL HTTP o HTTPS completa cuando quieras inspeccionar una ruta concreta.

¿Una puntuación perfecta significa que mi sitio web es seguro?

No. Las cabeceras de seguridad son una capa de endurecimiento del navegador, no una auditoría completa. Una buena puntuación significa que la respuesta comprobada tiene una base sólida, pero la aplicación todavía necesita código seguro, autenticación, autorización y controles de infraestructura.

¿Por qué es importante HSTS?

HSTS indica a los navegadores que usen HTTPS en visitas futuras después de haber visto una conexión segura. Ayuda a reducir degradaciones y exposición accidental en HTTP plano cuando se configura con un max-age significativo.

¿Por qué Content-Security-Policy puede mostrar una advertencia?

Una CSP puede existir y aun así permitir patrones arriesgados como scripts inline inseguros o eval inseguro. El verificador marca esos casos como advertencia porque la cabecera ayuda, pero la política puede necesitar ajustes.

¿Qué es la protección contra clickjacking?

La protección contra clickjacking limita si otro sitio puede colocar tu página dentro de un frame. Normalmente se configura con CSP frame-ancestors o con la cabecera más antigua X-Frame-Options.

¿Por qué los resultados cambian entre la página principal y otra URL?

Las cabeceras pueden configurarse por ruta, regla de CDN, respuesta del framework o servicio de origen. Prueba la URL exacta que cargan los usuarios porque la página principal, login, API y archivos estáticos pueden devolver cabeceras diferentes.

¿Este verificador sigue redireccionamientos?

Sí. Sigue hasta cinco redirecciones públicas HTTP o HTTPS y evalúa las cabeceras de la respuesta final, porque normalmente esas son las cabeceras que reciben los usuarios. La cadena de redirecciones aparece en el resultado para revisar hacia dónde se movió la solicitud.

¿Puede esta herramienta probar sitios privados o locales?

No. Está pensada para dominios públicos y URLs HTTP o HTTPS públicas. Localhost, redes privadas, nombres internos y rangos IP reservados se rechazan.

¿Es seguro usar este verificador de cabeceras de seguridad?

Sí. El verificador solo solicita la URL pública y lee cabeceras de respuesta. No necesita credenciales, no modifica el sitio remoto y no almacena datos personales.

¿Qué cabecera debería corregir primero?

Empieza por CSP ausente, HSTS en páginas HTTPS, protección de frames y X-Content-Type-Options. Después ajusta Referrer-Policy, Permissions-Policy, COOP y CORP según cómo la aplicación incrusta contenido y usa recursos cross-origin.