Verificador de Encabezados HTTP

Máximo 25 puntos. Puntuación base por presencia (6 puntos), bonificación por max-age ≥ 1 año (hasta 20 puntos), directiva includeSubDomains (+3 puntos) y directiva preload (+2 puntos). Una configuración excelente con max-age ≥ 31536000, includeSubDomains y preload recibe los 25 puntos completos.

Máximo 25 puntos. Puntuación base por presencia (12 puntos), bonificación por directiva default-src (+4 puntos), directiva script-src (+3 puntos) y uso de nonce/hash (+6 puntos). Penalizaciones por unsafe-inline (-3 puntos) y unsafe-eval (-2 puntos). Una CSP excelente con políticas estrictas recibe hasta 25 puntos.

Máximo 12 puntos. DENY recibe 12 puntos, SAMEORIGIN recibe 10 puntos. CSP frame-ancestors también se reconoce como alternativa moderna y recibe 12 puntos. La ausencia de ambos recibe 0 puntos.

Máximo 12 puntos. Configurado correctamente con "nosniff" recibe 12 puntos. Ausente o mal configurado recibe 0-5 puntos.

Máximo 13 puntos. Configurado correctamente con valores de política estándar recibe 13 puntos. Se prefieren políticas más estrictas (strict-origin, strict-origin-when-cross-origin, same-origin, no-referrer).

Máximo 13 puntos. Puntuación base por presencia (5 puntos), bonificación por funciones restringidas (hasta 8 puntos). Más funciones restringidas indican mejor configuración de seguridad.

Implementa siempre HSTS con max-age apropiado (mínimo 31536000 segundos para un año) y directiva includeSubDomains. La ausencia de HSTS deja sitios web vulnerables a ataques de degradación de protocolo.

Implementa políticas CSP estrictas que restrinjan la carga de recursos solo a fuentes de confianza. Usa default-src 'self' como base y evita directivas 'unsafe-inline' y 'unsafe-eval' cuando sea posible. Políticas CSP débiles con estas directivas ofrecen protección mínima contra ataques XSS.

Usa DENY para evitar todo enmarcado, o SAMEORIGIN para permitir enmarcado solo del mismo origen. Alternativamente, usa la directiva Content-Security-Policy frame-ancestors (p. ej., frame-ancestors 'none' o frame-ancestors 'self'), que es el reemplazo moderno de X-Frame-Options. CSP frame-ancestors ofrece control más granular y se prefiere sobre X-Frame-Options. La ausencia de X-Frame-Options o CSP frame-ancestors deja sitios web vulnerables a ataques de clickjacking.

Configúralo siempre en nosniff para prevenir ataques de sniffing MIME. Esto garantiza que los navegadores respeten los tipos de contenido declarados, evitando ataques de confusión de tipos de contenido.

Elimina o minimiza el encabezado Server para evitar divulgación de información. Revelar software y versión del servidor (p. ej., Server: nginx/1.18.0) ayuda a atacantes a identificar vulnerabilidades y planificar ataques dirigidos.

Elimina el encabezado X-Powered-By para evitar divulgación del framework de aplicación. Revelar información del framework (PHP, Express, etc.) ayuda a atacantes a identificar vulnerabilidades específicas del framework. Elimina este encabezado en entornos de producción.

Revisa encabezados personalizados X-* por divulgación de información. Los encabezados personalizados pueden revelar detalles internos de la aplicación, endpoints de API o información de arquitectura del sistema. Elimina o sanitiza encabezados que divulguen información sensible.

Implementa Referrer-Policy apropiada para proteger la privacidad del usuario. Usa strict-origin-when-cross-origin para equilibrio entre privacidad y funcionalidad, o no-referrer para máxima privacidad. Esto evita que parámetros sensibles de URL se filtren a sitios de terceros.

Usa directivas de caché apropiadas: no-store para contenido sensible, public, max-age=3600 para recursos estáticos y private para contenido específico del usuario. Encabezados Cache-Control mal configurados pueden causar problemas de seguridad (cachear contenido sensible) o de rendimiento.

Verifica la implementación de encabezados de seguridad para cumplimiento con recomendaciones OWASP, requisitos PCI-DSS y estándares de seguridad. Identifica encabezados de seguridad ausentes que indican vulnerabilidades potenciales y evalúa la postura de seguridad para gestión de riesgos.

Analiza encabezados de caché (Cache-Control, ETag, Expires) para optimizar la entrega de contenido y reducir la carga del servidor. Identifica configuraciones erróneas de caché que afectan el rendimiento y optimiza políticas de caché para mejor experiencia de usuario.

Depura problemas CORS analizando encabezados Access-Control-Allow-Origin y directivas CORS relacionadas. Identifica configuraciones CORS erróneas que impiden el acceso a API y verifica políticas CORS para cumplimiento de seguridad.

Verifica identificación del software del servidor, analiza encabezados personalizados de aplicación e identifica vulnerabilidades de divulgación de información. Comprueba configuraciones de encabezados del servidor según mejores prácticas de seguridad.

Admite conexiones HTTP (puerto 80) y HTTPS (puerto 443) con gestión TLS/SSL adecuada según estándares RFC 8446, garantizando compatibilidad con todos los servidores web.

Establece conexiones HTTP en vivo para recuperar información actual de encabezados directamente de servidores objetivo, garantizando datos de encabezados actualizados y precisos.

Analiza encabezados de seguridad según recomendaciones del OWASP Secure Headers Project y directrices de seguridad de Mozilla, identificando encabezados ausentes y ofreciendo recomendaciones de seguridad.

Organiza encabezados en categorías lógicas (Seguridad, Contenido, Caché, Info del Servidor, CORS, Personalizados) para análisis y comprensión sencillos.

Permite exportar información de encabezados en formatos JSON (RFC 8259), CSV y TXT para documentación, análisis e integración con otros sistemas.

Todas las comprobaciones de encabezados se realizan en tiempo real sin almacenamiento de datos, garantizando que tu información de encabezados permanezca privada y segura. No conservamos ni registramos nombres de dominio, URLs, encabezados ni resultados de consulta.