Skip to main contentSkip to navigation

Security Headers Analyzer

Analyze HTTP response headers for security best practices

HTTP Response Headers

Paste raw response headers (from your server, curl -I, or browser devtools).

Analysis

HSTS
Header not present
Forces HTTPS and protects against protocol downgrade attacks.
CSP
Header not present
Mitigates XSS by whitelisting sources.
X-Frame-Options
Header not present
Prevents clickjacking in iframes.
X-Content-Type-Options
Header not present
Prevents MIME sniffing.
Referrer-Policy
Header not present
Controls referer leakage.
Permissions-Policy
Header not present
Restricts powerful browser features.
COOP
Header not present
Isolates browsing context for security.
COEP
Header not present
Required for certain isolation models.
CORP
Header not present
Restricts cross-origin resource loading.

Analizador de Encabezados de Seguridad - Revisar Headers HTTP

Los encabezados de seguridad HTTP son la primera línea de defensa contra vulnerabilidades web: ordenan a los navegadores aplicar políticas que protegen frente a XSS, clickjacking, ataques MITM y fuga de datos. Este analizador evalúa los headers de respuesta de tu sitio según buenas prácticas, detecta protecciones ausentes y ofrece recomendaciones accionables para endurecer la aplicación. Una configuración sólida es clave para el cumplimiento, la confianza y la defensa ante amenazas en evolución.

Encabezados esenciales y mecanismos de protección

Content‑Security‑Policy (CSP) mitiga XSS controlando orígenes y scripts en línea. Strict‑Transport‑Security (HSTS) impone HTTPS y evita downgrades. X‑Frame‑Options y frame‑ancestors previenen clickjacking controlando iframes. X‑Content‑Type‑Options evita ataques de sniffing MIME. Referrer‑Policy limita la fuga de información. Permissions‑Policy restringe acceso a APIs del navegador (cámara, micrófono, geolocalización). En conjunto brindan defensa en profundidad contra vectores comunes.

CSP: configuración avanzada y buenas prácticas

CSP exige equilibrio entre seguridad y funcionalidad. Comienza con una política restrictiva (por ejemplo, default‑src 'self'; img‑src 'self' data:; style‑src 'self' 'unsafe‑inline'; script‑src 'self') y relaja según necesidad. Usa nonces o hashes en lugar de 'unsafe‑inline'. Implanta CSP de forma gradual: primero report‑only, corrige compatibilidades y luego aplica. Supervisa reportes para detectar ataques y errores de configuración. En apps complejas, usa políticas diferenciadas o strict‑dynamic.

Implementación de HSTS y subdominios

HSTS previene el SSL stripping forzando HTTPS en futuras conexiones. Empieza con max‑age corto para pruebas y aumenta en producción. 'includeSubDomains' protege subdominios (que deben soportar HTTPS). Considera 'preload' para listas de precarga y protección en la primera visita. HSTS es persistente: los navegadores recuerdan la política incluso tras retirar el header; prueba a fondo.

Errores comunes y cómo resolverlos

CSP demasiado permisiva (script‑src '*' o 'unsafe‑eval') anula la protección. Falta de HSTS en login expone a downgrades. X‑Frame‑Options incorrecto rompe iframes legítimos o no evita clickjacking. Encabezados en conflicto (X‑Frame‑Options vs. frame‑ancestors) generan comportamientos inesperados. Prueba en distintos navegadores y flujos; usa herramientas para ver violaciones CSP, validar HSTS y comprobar headers en páginas sensibles.

Headers para APIs y SPAs

Las APIs requieren otra configuración: CORS controla acceso cross‑origin; CSP es menos relevante en endpoints JSON. Las SPAs necesitan CSP cuidadosa para permitir carga dinámica y evitar XSS. Considera COEP/COOP para mejor aislamiento. Gateways y CDNs deben preservar headers del origen. Aplica los headers de forma consistente en dev/staging/prod para detectar problemas pronto.

Monitoreo, cumplimiento y operación a escala

Supervisa con herramientas (Security Headers, Mozilla Observatory) o escaneos en CI/CD. Registra violaciones CSP e informes HSTS para detectar ataques y errores. En grandes aplicaciones, usa gestión de configuración y 'políticas como código' para consistencia. Realiza auditorías periódicas, revisa eficacia y nuevos estándares. Marcos de cumplimiento (p. ej., SOC 2, PCI DSS) suelen exigir estos headers.

Further reading

Security headers provide essential protection against web vulnerabilities with minimal performance impact. Implement progressively, monitor violations, test thoroughly across browsers and user flows, and maintain policies as your application evolves. Regular security header audits should be part of your security maintenance routine.