¿Cómo veo las cabeceras HTTP en el navegador?

F12 → pestaña **Network** → pulsa una petición → pestaña **Headers**. Ves tanto lo que envió el navegador (Request Headers) como lo que devolvió el servidor (Response Headers). Desde la línea de comandos: `curl -I url` (solo cabeceras) o `curl -v url` (con body).

¿Por qué el prefix X- en algunas cabeceras (X-Forwarded-For)?

Históricamente **X-** significaba "experimental": cabeceras no estándar o no registradas. La RFC 6648 en 2012 prohibió oficialmente nuevas cabeceras X-, pero las antiguas se quedaron por compatibilidad. Hoy, si inventas una nueva cabecera nómbrala sin X- (p. ej. `Request-Id` en lugar de `X-Request-Id`).

¿Por qué hay Content-Type y Accept?

**Content-Type** describe qué HAY en el body de este mensaje. **Accept** dice qué ACEPTARÁ el otro lado en una respuesta. Ejemplo: el cliente hace POST con `Content-Type: application/json` (mi body es JSON) y `Accept: application/xml` (por favor responde XML). Esto es **negociación de contenido**.

Mis respuestas incluyen X-Powered-By: Express. ¿Debo dejarlo?

Mejor **quítalo**. Dice a los atacantes qué stack corres. En Express: `app.disable("x-powered-by")`. En general: no expongas detalles de implementación (Server: nginx/1.27, X-AspNet-Version, etc.). En Nginx: `server_tokens off`.

¿Cuándo uso Cache-Control: no-cache versus no-store?

Pese al nombre, **no-cache NO significa "no cachees"**. Significa "**revalida siempre con el servidor** antes de servir la copia cacheada". El navegador mantiene caché, pero cada petición incluye If-None-Match. **no-store** significa literalmente "nunca almacenes": la caché se salta, se usa para datos sensibles (banca).

¿Por qué Set-Cookie tiene tantos flags (HttpOnly, Secure, SameSite)?

Cada uno defiende contra una clase de ataque específica. **HttpOnly** = JS no puede leerla (frena robo de cookie por XSS). **Secure** = solo HTTPS (frena MITM). **SameSite=Strict/Lax** = la cookie no viaja en peticiones de terceros (frena CSRF). Para cookies de sesión **configura siempre las tres**.

¿Por qué CORS envía un preflight OPTIONS antes de POST?

Porque un POST con un Content-Type distinto de `application/x-www-form-urlencoded` (típicas llamadas API JSON) es "no simple" y el navegador envía un **preflight OPTIONS** para pedir permiso al servidor. El servidor responde con Access-Control-Allow-Origin/Methods/Headers. Si OK, sigue el POST real.

¿Por qué "Referer" está mal escrito en vez de "Referrer"?

Un clásico de internet. Phillip Hallam-Baker escribió la spec del 1996 con una errata, aterrizó en RFCs y nunca se arregló. Así que **la cabecera es Referer** (una r) pero **la política para ella es Referrer-Policy** (dos r). Sí, es confuso.

¿Sigue funcionando X-XSS-Protection?

**No**. Chrome quitó el soporte en 2019, otros navegadores siguieron. El filtro acabó creando nuevas vulnerabilidades. **Usa Content-Security-Policy en su lugar**. Para navegadores antiguos, pon `X-XSS-Protection: 0` para desactivarlo explícitamente: dejarlo activo puede ser peor que quitarlo.

Referencia de cabeceras HTTP - gratis

Mostrando 65 de 65 cabeceras

Resultados

Cabecera

Cache-Control

Petición + respuestacachingpopular

Descripción

Reglas de caché. La cabecera de caché más importante. Usa no-store para datos sensibles.

Valor de ejemplo

Cache-Control: public, max-age=31536000, immutable

Cabeceras relacionadas

↑↓navegar la listaEntercopiar el primer resultado

¿Qué significan Cache-Control, Authorization, CORS y las demás cabeceras HTTP?

Cada petición y respuesta HTTP lleva un conjunto de cabeceras HTTP diciendo a cada lado qué pasa: qué formato, qué cookies, qué reglas de caché, qué permisos. Hay docenas y la mayoría de developers recuerda cinco y panican ante el resto.

Busca cualquier cabecera aquí: por nombre (Cache-Control), descripción ("fuerza HTTPS") o categoría (Caching, Security, CORS). Cada una tiene una explicación en lenguaje claro, un valor de ejemplo listo para copiar y una lista de cabeceras relacionadas.

Corre offline porque los datos están integrados. Filtrado instantáneo, copia solo el nombre, solo el valor o la línea `Nombre: valor` completa.

Cómo usarla

Escribe un nombre (`Cache-Control`), descripción (`fuerza HTTPS`) o categoría en la caja de búsqueda. La lista filtra al instante.

Usa las pastillas Autenticación / Caching / CORS / Security / Cookies / Proxies / Otros para acotar.

Filtro de dirección: Petición / Respuesta / Ambas: útil cuando quieres específicamente algo que el servidor devuelve.

Las flechas ↑↓ mueven la selección, Enter copia el nombre del primer hit.

Pulsa una cabecera para ver el panel de detalle: descripción, valor de ejemplo, cabeceras relacionadas. Copia solo el nombre, solo el valor o el `Nombre: valor` completo.

Cuándo es útil

Situaciones del día a día con cabeceras HTTP:

Configuración CORS: ¿qué cabeceras Access-Control-* necesitas para que el frontend X pueda leer la API Y? Todas en una categoría.
Hardening de seguridad: auditar un servidor. Comprueba: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Todas marcadas como populares.
Caché y CDN: ¿por qué el CDN no cachea? Inspecciona Cache-Control + Vary + Expires + ETag. Entiende cómo interactúan.
Depurar 401/403: recibiste un 401 pero no sabes qué esquema anunciar. Busca WWW-Authenticate, alinea Authorization.
Rate limiting: implementar 429 Too Many Requests. ¿Qué cabecera dice al cliente que pare? Retry-After. Valor de ejemplo aquí mismo.
Migración a HTTPS: ¿cómo activas HSTS? No solo la sintaxis sino la pista "incluir preload para ser hardcodeado en navegadores".
Onboarding: un junior pregunta "¿qué es X-Forwarded-For?". Envíale esta página en lugar de explicar.

Herramientas relacionadas: códigos de status HTTP para la misma idea pero con códigos de respuesta. El inspector de cabeceras HTTP muestra qué devuelve un servidor real en una URL en vivo.

Preguntas y respuestas

Son pares clave-valor enviados junto con cada petición y respuesta. Ejemplo: `Content-Type: application/json`, `Cache-Control: no-store`, `Authorization: Bearer abc`. Las cabeceras son invisibles en la UI del navegador (pulsas un enlace, no las ves), pero el servidor y el navegador las leen en cada operación. Existen unas 100 cabeceras estándar y puedes inventar las tuyas (históricamente prefijadas con `X-`).

¿Qué significan Cache-Control, Authorization, CORS y las demás cabeceras HTTP?

Corre offline porque los datos están integrados. Filtrado instantáneo, copia solo el nombre, solo el valor o la línea `Nombre: valor` completa.

Cómo usarla

Escribe un nombre (`Cache-Control`), descripción (`fuerza HTTPS`) o categoría en la caja de búsqueda. La lista filtra al instante.

Usa las pastillas Autenticación / Caching / CORS / Security / Cookies / Proxies / Otros para acotar.

Filtro de dirección: Petición / Respuesta / Ambas: útil cuando quieres específicamente algo que el servidor devuelve.

Las flechas ↑↓ mueven la selección, Enter copia el nombre del primer hit.

Pulsa una cabecera para ver el panel de detalle: descripción, valor de ejemplo, cabeceras relacionadas. Copia solo el nombre, solo el valor o el `Nombre: valor` completo.

Cuándo es útil

Situaciones del día a día con cabeceras HTTP:

Configuración CORS: ¿qué cabeceras Access-Control-* necesitas para que el frontend X pueda leer la API Y? Todas en una categoría.
Hardening de seguridad: auditar un servidor. Comprueba: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy. Todas marcadas como populares.
Caché y CDN: ¿por qué el CDN no cachea? Inspecciona Cache-Control + Vary + Expires + ETag. Entiende cómo interactúan.
Depurar 401/403: recibiste un 401 pero no sabes qué esquema anunciar. Busca WWW-Authenticate, alinea Authorization.
Rate limiting: implementar 429 Too Many Requests. ¿Qué cabecera dice al cliente que pare? Retry-After. Valor de ejemplo aquí mismo.
Migración a HTTPS: ¿cómo activas HSTS? No solo la sintaxis sino la pista "incluir preload para ser hardcodeado en navegadores".
Onboarding: un junior pregunta "¿qué es X-Forwarded-For?". Envíale esta página en lugar de explicar.

Herramientas relacionadas: códigos de status HTTP para la misma idea pero con códigos de respuesta. El inspector de cabeceras HTTP muestra qué devuelve un servidor real en una URL en vivo.

Preguntas y respuestas

Referencia de cabeceras HTTP

¿Qué significan Cache-Control, Authorization, CORS y las demás cabeceras HTTP?

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Códigos de estado HTTP

Inspector de cabeceras HTTP

Buscador de tipos MIME

Probador de peticiones HTTP

Referencia de cabeceras HTTP

¿Qué significan Cache-Control, Authorization, CORS y las demás cabeceras HTTP?

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Códigos de estado HTTP

Inspector de cabeceras HTTP

Buscador de tipos MIME

Probador de peticiones HTTP