¿Y la seguridad? ¿No es esto SSRF?

**Defendemos contra SSRF**: bloqueamos direcciones privadas (**10.x**, **172.16-31.x**, **192.168.x**), loopback (**127.0.0.0/8**, **::1**), link-local (**169.254.0.0/16**: donde están los servicios de metadatos de AWS / Azure / GCP), carrier-grade NAT (**100.64.0.0/10**), IPv6 ULA (**fc00::/7**). El host se **resuelve en el servidor** y cada IP devuelta se comprueba **antes** del fetch (esto defiende contra **DNS rebinding**). Solo se permiten **http:// y https://**.

¿Cuáles son los límites?

**15 segundos** por petición (por salto), **5 MB** de body de respuesta (cualquier cosa mayor se trunca), **50 peticiones por hora** por IP, **10 redirecciones** máx. Estos límites cubren el **99% de depuración de API**. Para ficheros enormes usa un curl local.

¿Almacenáis mis peticiones o respuestas?

**No**. No registramos URLs, cabeceras, bodies ni respuestas. El único estado en el proceso es el **contador de peticiones por IP** (para rate limiting), reseteado cada hora o al reiniciar el servidor. **Nada se persiste a disco**.

¿Qué significa "TTFB" en el desglose de timing?

**Time To First Byte**: tiempo desde que se envía la petición hasta que llega el **primer byte de cabeceras de respuesta**. TTFB alto (>500 ms) = **el servidor tarda en generar la respuesta** (¿base de datos? ¿cache miss? ¿API lenta?). Bajo (<100 ms) = el servidor está sano.

¿Por qué no veo tiempos separados de TCP connect y TLS handshake?

Porque **Node fetch (undici) no los expone públicamente**. Medimos: **DNS** por separado (vía `dns.lookup`), luego **TTFB** (inicio del fetch → cabeceras) y **transferencia** (cabeceras → body completo). Connect + TLS están **agrupados dentro de TTFB**. Para números precisos usa **curl -w "%{time_connect} %{time_appconnect}"** localmente.

¿Puedo subir ficheros (multipart/form-data)?

**Parcialmente**. Campos de texto **sí** (la pestaña form-data te da filas key/value). **Adjuntos binarios** no están soportados en esta versión: significaría subir ficheros a nuestro servidor, lo que no queremos por privacidad. Para subidas de fichero reales, usa **curl** localmente.

¿Y las respuestas gzipped?

Los servidores a menudo responden con **Content-Encoding: gzip** (o br / deflate). Mostramos ambos tamaños: **comprimido** (de la cabecera `Content-Length`: bytes en el cable) y **descomprimido** (lo que obtienes tras que Node lo decodifique automáticamente). El ratio = ratio de compresión.

¿Qué significa "blocked: privateHost" en la cadena de redirección?

Una de las cabeceras `Location` de la secuencia 3xx apuntó a una **dirección privada** (p. ej. tu backend API devolvió `Location: http://10.0.0.1/admin`). **Paramos la cadena justo ahí** para no llegar nunca a una red interna. Misma guardia SSRF que para la primera URL.

Probador de peticiones HTTP - gratis

Probador de peticiones HTTP

Escribe una URL, elige un método, añade cabeceras, cuerpo, autenticación - pulsa enviar. La petición sale desde nuestro servidor (no desde tu navegador, así que CORS no bloqueará). Obtienes el estado, las cabeceras de respuesta, el cuerpo, el tiempo completo y la cadena de redirecciones.

Tu petición HTTP se envía desde nuestro servidor, no desde tu navegador (evita CORS). No almacenamos ni la petición ni la respuesta.

Curl en el navegador: sin Postman, sin CORS

Escribe una URL, elige GET / POST / PUT, añade cabeceras y body, pulsa. La petición sale desde nuestro servidor, así que CORS no bloquea y no necesitas instalar Postman.

Obtienes el código de status, las cabeceras de respuesta, el body (JSON / XML / HTML auto-formateado), el tamaño (comprimido + descomprimido), set-cookie más el desglose de timing: DNS / TTFB / transferencia.

Excelente para depuración de API: webhooks, OAuth, endpoints de terceros, comprobar cabeceras de caché o CORS, sin salir del navegador.

Cómo usarlo

Elige el método (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) en la barra superior.

Pega la URL destino (debe empezar por https:// o http://).

En la pestaña Headers añade tus propias cabeceras (p. ej. Accept: application/json, X-API-Key).

En la pestaña Body elige un formato: JSON, form-data, x-www-form-urlencoded o raw. Escribe los datos.

En la pestaña Auth elige Basic (usuario + password) o Bearer (token). La cabecera Authorization se construye automáticamente.

Pulsa Enviar. A la derecha ves el status, las cabeceras, el body, el timing y las cookies.

Activa Seguir redirecciones solo cuando quieras ver toda la cadena 3xx → 200. Cada redirección se re-valida contra SSRF antes de seguirla.

Cuándo es útil

Un tester de peticiones HTTP resuelve problemas del día a día de frontend y backend:

Depuración de API. ¿El endpoint responde siquiera? ¿Devuelve lo que prometen los docs? Un disparo, panorama completo.
CORS que fetch del navegador no puede vencer. ¿Tu fetch en devtools lanza un CORS error? Desde nuestro servidor CORS no existe: ves la respuesta real del servidor, no el envoltorio del navegador alrededor del error.
Receptores de webhook. POST a tu propio webhook, ve qué llega y en qué forma.
Tokens OAuth / Bearer. Comprueba si el token es válido: GET /me con Authorization: Bearer ... y lee la respuesta.
Basic Auth. Sondea endpoints tras Basic (paneles admin, APIs legacy).
Triaje de performance. ¿TTFB demasiado alto? ¿Transferencia más larga de lo esperado? Lo ves desglosado.
Cadenas de redirección. ¿El dominio hace 3 saltos antes de la página? La lista de saltos muestra cada uno.
Comprobaciones de cabeceras de caché. Cache-Control, ETag, Last-Modified: lista completa de cabeceras de respuesta.
Preflight OPTIONS. Preflight CORS con Origin y Access-Control-Request-Method reales, así ves exactamente qué devuelve tu servidor.

Relacionadas: capta webhooks entrantes en el receptor de webhook, simula respuestas con el generador de mock API, o genera tipos de petición directamente desde una spec OpenAPI.

Preguntas y respuestas

Porque los navegadores bloquean peticiones cross-origin (CORS). Desde nuestro servidor CORS no aplica: es un fetch normal desde Node.js. Además: algunos servidores devuelven cabeceras distintas a un navegador que a curl/Node (p. ej. User-Agent gating), así que ves la respuesta real, no la cortés para navegadores.

Curl en el navegador: sin Postman, sin CORS

Escribe una URL, elige GET / POST / PUT, añade cabeceras y body, pulsa. La petición sale desde nuestro servidor, así que CORS no bloquea y no necesitas instalar Postman.

Excelente para depuración de API: webhooks, OAuth, endpoints de terceros, comprobar cabeceras de caché o CORS, sin salir del navegador.

Cómo usarlo

Elige el método (GET / POST / PUT / PATCH / DELETE / HEAD / OPTIONS) en la barra superior.

Pega la URL destino (debe empezar por https:// o http://).

En la pestaña Headers añade tus propias cabeceras (p. ej. Accept: application/json, X-API-Key).

En la pestaña Body elige un formato: JSON, form-data, x-www-form-urlencoded o raw. Escribe los datos.

En la pestaña Auth elige Basic (usuario + password) o Bearer (token). La cabecera Authorization se construye automáticamente.

Pulsa Enviar. A la derecha ves el status, las cabeceras, el body, el timing y las cookies.

Activa Seguir redirecciones solo cuando quieras ver toda la cadena 3xx → 200. Cada redirección se re-valida contra SSRF antes de seguirla.

Cuándo es útil

Un tester de peticiones HTTP resuelve problemas del día a día de frontend y backend:

Depuración de API. ¿El endpoint responde siquiera? ¿Devuelve lo que prometen los docs? Un disparo, panorama completo.
CORS que fetch del navegador no puede vencer. ¿Tu fetch en devtools lanza un CORS error? Desde nuestro servidor CORS no existe: ves la respuesta real del servidor, no el envoltorio del navegador alrededor del error.
Receptores de webhook. POST a tu propio webhook, ve qué llega y en qué forma.
Tokens OAuth / Bearer. Comprueba si el token es válido: GET /me con Authorization: Bearer ... y lee la respuesta.
Basic Auth. Sondea endpoints tras Basic (paneles admin, APIs legacy).
Triaje de performance. ¿TTFB demasiado alto? ¿Transferencia más larga de lo esperado? Lo ves desglosado.
Cadenas de redirección. ¿El dominio hace 3 saltos antes de la página? La lista de saltos muestra cada uno.
Comprobaciones de cabeceras de caché. Cache-Control, ETag, Last-Modified: lista completa de cabeceras de respuesta.
Preflight OPTIONS. Preflight CORS con Origin y Access-Control-Request-Method reales, así ves exactamente qué devuelve tu servidor.

Relacionadas: capta webhooks entrantes en el receptor de webhook, simula respuestas con el generador de mock API, o genera tipos de petición directamente desde una spec OpenAPI.

Preguntas y respuestas

Probador de peticiones HTTP

Curl en el navegador: sin Postman, sin CORS

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Probador de expresiones regulares

Formateador JSON

Probador de peticiones HTTP

Curl en el navegador: sin Postman, sin CORS

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Decodificador JWT

Probador de expresiones regulares

Formateador JSON