Verificador de Encabezados de Seguridad
Audita los 8 encabezados HTTP de seguridad modernos — HSTS, CSP, Permissions-Policy, Referrer-Policy, X-Frame-Options y más. Calificación A-F con implicaciones de flujo de datos privados.
Cómo usar Verificador de Encabezados de Seguridad
- 1Ingresa la URL del sitio web que deseas auditar.
- 2Ve todos los encabezados de seguridad HTTP (o los faltantes) detectados en la respuesta.
- 3Revisa el análisis por encabezado que muestra las implicaciones de seguridad y privacidad.
- 4Sigue las recomendaciones de corrección para mejorar tu calificación de seguridad.
ZenovayAnalytics
Ve quién está en tu sitio ahora mismo.
- Seguimiento de visitantes en tiempo real
- Privacidad primero, sin aviso de cookies
- Configurado en dos minutos
Herramientas relacionadas
Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.Preguntas frecuentes
¿Qué cabeceras de seguridad HTTP comprueba esta herramienta?▾
Esta herramienta comprueba 8 cabeceras de seguridad HTTP clave: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy (COOP) y X-XSS-Protection. Cada cabecera se analiza para comprobar su corrección y se califica.
¿Por qué es Permissions-Policy un problema de privacidad?▾
Permissions-Policy controla qué APIs del navegador (cámara, micrófono, geolocalización, pago) pueden acceder su página y los scripts de terceros. Sin ella, los rastreadores publicitarios cargados en su sitio pueden solicitar acceso a la ubicación de sus usuarios. Restringir estas APIs con `geolocation=(), camera=(), microphone=()` impide que los rastreadores soliciten permisos sensibles.
¿Por qué importa Referrer-Policy para la privacidad?▾
Sin Referrer-Policy, los navegadores envían la URL completa de cada página (incluida la ruta y los parámetros de consulta como [email protected]) a cada recurso de terceros: herramientas de analítica, CDNs y redes publicitarias. Establecer Referrer-Policy: strict-origin-when-cross-origin limita los datos de referencia entre orígenes solo al dominio, evitando la fuga de datos basada en URL.
¿Qué es HSTS y por qué lo necesito?▾
HTTP Strict Transport Security (HSTS) indica a los navegadores que su sitio debe accederse solo por HTTPS. Sin él, un atacante en la misma red puede interceptar conexiones HTTP (ataque de SSL stripping). Una vez establecido HSTS con un max-age largo, los navegadores se negarán a conectarse a su sitio por HTTP plano incluso si el usuario escribe «http://» manualmente.
Me falta CSP. ¿Cómo creo una?▾
La CSP puede ser compleja de configurar correctamente. Comience con `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; upgrade-insecure-requests` e itere. Use primero el modo Report-Only para probar sin romper nada. Las herramientas Mozilla Observatory y CSP Evaluator pueden ayudar a validar su política.
¿Qué es X-Frame-Options y sigue siendo necesario?▾
X-Frame-Options evita que su sitio sea incrustado en iframes de otros dominios (protección contra clickjacking). La directiva `frame-ancestors` de CSP es el reemplazo moderno, pero X-Frame-Options sigue siendo necesario para navegadores más antiguos. Use `X-Frame-Options: DENY` a menos que necesite incrustación de iframes del mismo dominio.
¿Cómo añado cabeceras de seguridad a mi sitio?▾
Para Nginx: añada cabeceras en su bloque server {}. Para Apache: use directivas Header set en .htaccess o httpd.conf. Para Cloudflare: use Transform Rules → Modify Response Headers. Para Vercel/Netlify: use headers() en next.config.js o netlify.toml. La mayoría de los CDNs y plataformas de alojamiento admiten cabeceras de respuesta personalizadas.