Referencia de Encabezados de Seguridad HTTP
Referencia y verificador de encabezados de seguridad HTTP — CSP, HSTS, X-Frame-Options, CORS y más.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Valor Recomendado: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Riesgo de Seguridad Sin: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Valor Recomendado: max-age=31536000; includeSubDomains; preload
Riesgo de Seguridad Sin: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Valor Recomendado: DENY or SAMEORIGIN
Riesgo de Seguridad Sin: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Valor Recomendado: nosniff
Riesgo de Seguridad Sin: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Valor Recomendado: strict-origin-when-cross-origin
Riesgo de Seguridad Sin: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Valor Recomendado: camera=(), microphone=(), geolocation=(self)
Riesgo de Seguridad Sin: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Valor Recomendado: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Riesgo de Seguridad Sin: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Valor Recomendado: GET, POST, PUT, DELETE (only what is needed)
Riesgo de Seguridad Sin: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Valor Recomendado: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Riesgo de Seguridad Sin: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Valor Recomendado: same-origin or same-site
Riesgo de Seguridad Sin: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Valor Recomendado: same-origin
Riesgo de Seguridad Sin: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Valor Recomendado: 1; mode=block (legacy) or omit in favor of CSP
Riesgo de Seguridad Sin: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Verificador de Encabezados
Pegue sus encabezados de respuesta HTTP para verificar
Acerca de esta herramienta
Los encabezados de seguridad HTTP son encabezados de respuesta especializados que indican a los navegadores web cómo protegerse contra vulnerabilidades web comunes. A diferencia de los encabezados HTTP generales que controlan el almacenamiento en caché o la entrega de contenido, los encabezados de seguridad crean un perímetro defensivo alrededor de tu aplicación web previniendo ataques como scripting entre sitios (XSS), clickjacking, explotación de tipos MIME y robo de datos entre orígenes.
Esta herramienta proporciona tanto una referencia completa para todos los encabezados de seguridad principales como un verificador interactivo que analiza tu postura de seguridad actual. Pega tus encabezados de respuesta HTTP o ingresa un dominio, e instantáneamente verás qué encabezados de seguridad están presentes, cuáles faltan y cómo se califica tu configuración respecto a las mejores prácticas de la industria.
Desarrolladores web, ingenieros de DevOps y equipos de seguridad utilizan esta referencia para fortalecer sus implementaciones sin cambios de código. La mayoría de los encabezados de seguridad se configuran puramente a través de configuración del servidor, reglas de proxy inverso o complementos de marcos de aplicación — convirtiéndolos en uno de los avances más rápidos para mejorar la resiliencia de tu sitio contra amenazas modernas.
Preguntas Frecuentes
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.