¿Qué es HSTS y cómo lo configuro?

**HTTP Strict-Transport-Security** indica a los navegadores "durante los próximos N segundos, conéctate a este dominio solo por HTTPS, aunque el usuario escriba `http://`". Config estándar: `Strict-Transport-Security: max-age=63072000; includeSubDomains; preload`. El `max-age=63072000` son 2 años en segundos (el mínimo para la [lista preload de Chrome](https://hstspreload.org/)). `includeSubDomains` cubre `api.tu-sitio.com`, `cdn.tu-sitio.com`, etc. `preload` permite el envío a la lista incorporada del navegador. Aviso: una vez que envías HSTS con un max-age largo, **no puedes revertir fácilmente** porque el navegador de cada visitante lo recuerda. Prueba primero con `max-age=300`.

¿Qué es Content-Security-Policy, en un minuto?

**CSP es una whitelist de desde dónde se permite cargar recursos en la página**. Un buen punto de partida: `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'`. Eso dice: carga todo desde mi propio origen, sin scripts de terceros, sin objetos Flash/plugin, sin que nadie me meta en un iframe. **La mayoría de los ataques XSS mueren en la frontera de CSP** porque el script inyectado viene de un dominio atacante que no está en la whitelist. La parte truculenta es permitir las cosas de terceros que usas de verdad (Google Analytics, Stripe, Cloudflare Insights) sin abrir la puerta a `'unsafe-inline'`. Usa **nonces** o **hashes** para eso.

X-Frame-Options vs CSP frame-ancestors, ¿cuál gana?

**Ambos funcionan, frame-ancestors es la forma moderna**. `X-Frame-Options: DENY` (o `SAMEORIGIN`) es la forma de 2009 de decir "no me metas en un iframe". `frame-ancestors 'none'` de CSP es la forma de 2014 y es **más flexible** porque puedes listar padres permitidos específicos (`frame-ancestors 'self' https://partner.com`). Los navegadores modernos prefieren `frame-ancestors` cuando están ambos presentes. Para máxima compatibilidad, **pon los dos**. Nuestro inspector te da el punto si al menos uno está presente.

¿Por qué ocultar X-Powered-By y la versión del Server?

**Defensa en profundidad**. Si tu `Server: Apache/2.4.41 (Ubuntu)` y `X-Powered-By: PHP/7.4.3` está en cada respuesta, un atacante escaneando CVEs **sabe exactamente qué exploits intentar**. Quitar estas cabeceras no arregla ninguna vulnerabilidad subyacente, pero sube el coste de los ataques automatizados de paso. Express: `app.disable('x-powered-by')`. nginx: `server_tokens off;`. Apache: `ServerTokens Prod` + `ServerSignature Off`. PHP: `expose_php = Off` en `php.ini`. Un `Server: nginx` pelado está bien; la versión es lo que importa.

¿Cómo funciona Permissions-Policy?

Es un **opt-out a nivel HTTP de las funcionalidades del navegador** que la página (y sus iframes) tienen permitido usar. Ejemplo: `Permissions-Policy: camera=(), microphone=(), geolocation=(), interest-cohort=()`. Los paréntesis vacíos significan "nadie, ni siquiera yo". Si SÍ usas geolocalización en una ruta, pon `geolocation=(self)`. La línea `interest-cohort=()` te saca de [FLoC](https://github.com/WICG/floc) (el tracking por cohortes de Google). **El sentido es el aislamiento de iframes**: aunque un iframe de anuncio embebido llame a `navigator.geolocation.getCurrentPosition`, el navegador se niega porque el padre no delegó el permiso.

¿Cuándo debo usar Cache-Control vs ETag?

**Ambos, resuelven problemas distintos**. `Cache-Control: public, max-age=31536000, immutable` es lo correcto para **assets con fingerprint** (`app.a1b2c3.js`): el navegador nunca vuelve a preguntar hasta que pase el año, lo que es rápido. `Cache-Control: no-cache` con un `ETag` es lo correcto para **páginas HTML**: el navegador siempre vuelve a preguntar al servidor pero entrega el cuerpo cacheado si el ETag aún coincide (un rápido `304 Not Modified`). **`no-cache` no significa "no cachees"** (eso es `no-store`); significa "revalida siempre primero". La mayoría de sitios en producción hacen el truco del asset con fingerprint para JS/CSS/imágenes y un `max-age` corto (60-300s) más `s-maxage` para HTML.

Mi sitio tiene 5 redirecciones en la cadena. ¿Es malo?

**Es lento, pero no siempre está roto**. Cada salto cuesta una resolución DNS más un handshake TCP más un handshake TLS más un round trip, típicamente 50-200 ms. Cinco saltos son 0,5-1 segundo antes de que el usuario vea nada. Ofensores comunes: `http://ejemplo.com` a `https://ejemplo.com` a `https://www.ejemplo.com` a `https://www.ejemplo.com/es/` a `https://www.ejemplo.com/es/home/`. **Arréglalo colapsando la cadena**: haz las redirecciones http-a-https, www-vs-pelado y barra-final-o-no en un solo paso. Los dominios de tracking de marketing (`bit.ly`, `t.co`) suelen añadir sus propios saltos también; no hay mucho que puedas hacer al respecto.

¿Cuál es la diferencia entre esto y securityheaders.com?

**Misma idea, puntuación ligeramente distinta**. securityheaders.com es **la referencia del sector**, mantenida por Scott Helme, y puntúa de A+ a F. Nuestra herramienta te da **la cadena completa de saltos** con tiempos por salto (la suya colapsa las redirecciones), muestra **cada cabecera** de la respuesta final agrupada por propósito (cacheo, CORS, servidor, personalizadas) y usa una rúbrica A-F similar con un **punto extra cada uno por ocultar la versión del Server y por X-Powered-By ausente**. Las recomendaciones incluyen **líneas de configuración concretas** listas para pegar. Usa ambas; las segundas opiniones son baratas.

¿Se almacena en algún sitio la URL que compruebo?

**No**. La URL llega a nuestra función serverless, la función obtiene **solo las cabeceras** (cancelamos el body en cuanto llegan las cabeceras, así que el contenido real de tu página nunca se descarga), calcula la puntuación y devuelve JSON. **No se loguea nada, nada toca disco, no se dispara analítica en la petición a la API**. Rate limit: **30 peticiones por hora** por IP, mapa en memoria, se reinicia al cold-start de la función. La guardia SSRF rechaza hosts privados y loopback en cada salto, así que una redirección maliciosa a `10.0.0.1` se rechaza.

Inspector de cabeceras HTTP - gratis

¿Qué muestra el inspector de cabeceras HTTP?

Pega una URL, pulsa Comprobar y nuestro servidor recorre la cadena de redirecciones salto a salto (hasta 5 saltos), registra el código de estado, las cabeceras y los tiempos de cada salto, luego puntúa las cabeceras de seguridad de la página final de A a F.

Ves exactamente lo que ve un navegador en el cable: cada redirección, cada Set-Cookie, cada Cache-Control, cada línea CORS. Más una tarjeta de seguridad que te dice en lenguaje claro si Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy están configurados, más un punto extra cada uno por ocultar la versión del Server y eliminar X-Powered-By.

Para cada cabecera ausente obtienes una línea de configuración concreta lista para pegar en nginx, Apache, Express o tu CDN.

Cómo usarlo

Pega la URL completa (p. ej. `https://tu-sitio.com`). Si omites `https://`, lo añadimos.
Pulsa Comprobar o Enter. El servidor tiene 8 segundos por salto y 20 segundos de presupuesto total. Ejecución típica: 200-800 ms.
Lee la cadena de redirecciones de arriba abajo: salto 1, salto 2, etc. Cada uno muestra la URL, el código de estado (`301`, `302`, `308`) y cuánto tardó el servidor en responder.
Mira la tarjeta de puntuación de seguridad: una letra de A a F más una puntuación numérica sobre 10. Cada pilar (HSTS, CSP, ...) es una fila con un check verde o una cruz roja y un arreglo de una línea.
Abre Todas las cabeceras de respuesta (último salto) para ver cada cabecera agrupada por Seguridad, Caché, CORS, Servidor, Otros. Copia el valor que necesites con un clic.

Cuándo es útil

Siete situaciones del día a día en las que quieres inspeccionar las cabeceras tú mismo:

Una nueva landing va a producción. Verifica que la cadena de redirecciones es corta (un 301 máximo) y que HSTS, CSP y X-Content-Type-Options están puestos antes de que marketing publique la URL.
Tu sitio sacó una B en securityheaders.com. Usa el desglose para ver exactamente qué dos cabeceras te impiden subir a A, y copia las líneas recomendadas en nginx.
El cacheo se comporta raro. Inspecciona Cache-Control, ETag, Last-Modified, Vary en el último salto. Si ves `Cache-Control: no-store` donde esperabas `max-age=3600`, sabes que el CDN/origen está quitando cabeceras.
Errores CORS en el navegador. Comprueba Access-Control-Allow-Origin / -Methods / -Headers / -Credentials en el endpoint que falla. El inspector muestra los valores exactos del servidor, sin acrobacias de DevTools.
Redirección sospechosa. Algunas herramientas de marketing encadenan 4-5 redirecciones a través de dominios de tracking. La lista de saltos te muestra cada paso y el tiempo por salto, para que detectes el lento.
Depuración de CDN. Compara cabeceras en origen vs edge del CDN. Valores distintos de X-Cache, Age, Server, Via te dicen si el CDN está sirviendo desde caché o tirando fresco.
Auditoría de cumplimiento. Un checklist de seguridad exige HSTS preload, sin X-Powered-By y con Permissions-Policy. El inspector confirma o niega cada elemento con una recomendación copiable.

Preguntas y respuestas

Son cabeceras de respuesta que un navegador lee antes de renderizar la página. Cada una cierra un vector de ataque específico. HSTS detiene ataques de downgrade (HTTP en vez de HTTPS). CSP detiene scripts inyectados (XSS) y exfiltración de datos. X-Frame-Options detiene clickjacking (tu página en el iframe de otro). X-Content-Type-Options: nosniff detiene confusión de MIME type. Referrer-Policy detiene la fuga de URLs sensibles en la cabecera Referer. Permissions-Policy detiene que frames embebidos accedan a cámara, micro o geolocalización. Son gratis, en servidor y soportadas por cualquier navegador moderno, así que no hay buena razón para no configurarlas.

¿Qué muestra el inspector de cabeceras HTTP?

Para cada cabecera ausente obtienes una línea de configuración concreta lista para pegar en nginx, Apache, Express o tu CDN.

Cómo usarlo

Pega la URL completa (p. ej. `https://tu-sitio.com`). Si omites `https://`, lo añadimos.

Pulsa Comprobar o Enter. El servidor tiene 8 segundos por salto y 20 segundos de presupuesto total. Ejecución típica: 200-800 ms.

Lee la cadena de redirecciones de arriba abajo: salto 1, salto 2, etc. Cada uno muestra la URL, el código de estado (`301`, `302`, `308`) y cuánto tardó el servidor en responder.

Mira la tarjeta de puntuación de seguridad: una letra de A a F más una puntuación numérica sobre 10. Cada pilar (HSTS, CSP, ...) es una fila con un check verde o una cruz roja y un arreglo de una línea.

Abre Todas las cabeceras de respuesta (último salto) para ver cada cabecera agrupada por Seguridad, Caché, CORS, Servidor, Otros. Copia el valor que necesites con un clic.

Cuándo es útil

Siete situaciones del día a día en las que quieres inspeccionar las cabeceras tú mismo:

Una nueva landing va a producción. Verifica que la cadena de redirecciones es corta (un 301 máximo) y que HSTS, CSP y X-Content-Type-Options están puestos antes de que marketing publique la URL.
Tu sitio sacó una B en securityheaders.com. Usa el desglose para ver exactamente qué dos cabeceras te impiden subir a A, y copia las líneas recomendadas en nginx.
El cacheo se comporta raro. Inspecciona Cache-Control, ETag, Last-Modified, Vary en el último salto. Si ves `Cache-Control: no-store` donde esperabas `max-age=3600`, sabes que el CDN/origen está quitando cabeceras.
Errores CORS en el navegador. Comprueba Access-Control-Allow-Origin / -Methods / -Headers / -Credentials en el endpoint que falla. El inspector muestra los valores exactos del servidor, sin acrobacias de DevTools.
Redirección sospechosa. Algunas herramientas de marketing encadenan 4-5 redirecciones a través de dominios de tracking. La lista de saltos te muestra cada paso y el tiempo por salto, para que detectes el lento.
Depuración de CDN. Compara cabeceras en origen vs edge del CDN. Valores distintos de X-Cache, Age, Server, Via te dicen si el CDN está sirviendo desde caché o tirando fresco.
Auditoría de cumplimiento. Un checklist de seguridad exige HSTS preload, sin X-Powered-By y con Permissions-Policy. El inspector confirma o niega cada elemento con una recomendación copiable.

Preguntas y respuestas

Inspector de cabeceras HTTP

¿Qué muestra el inspector de cabeceras HTTP?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Inspector de certificado SSL

Vista previa OpenGraph / Twitter Card

Probador de peticiones HTTP

Detector HTTP/2 + HTTP/3 + QUIC

Detector de proveedor cloud / CDN

Inspector de cabeceras HTTP

¿Qué muestra el inspector de cabeceras HTTP?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Inspector de certificado SSL

Vista previa OpenGraph / Twitter Card

Probador de peticiones HTTP

Detector HTTP/2 + HTTP/3 + QUIC

Detector de proveedor cloud / CDN