Análisis gratuito de cabeceras de seguridad – sin registro

Verificador de Cabeceras HTTP

Evalúe las cabeceras de respuesta HTTP de cualquier URL. Analizamos HSTS, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, el aislamiento entre orígenes (COOP/COEP/CORP) y los atributos de las cookies, y le explicamos cómo corregir lo que falta.

https://

Qué hace este verificador de cabeceras HTTP

Introduzca cualquier URL pública y la obtendremos desde el servidor para leer las cabeceras de respuesta HTTP sin procesar: las instrucciones invisibles que un servidor envía junto con cada página. Analizamos las relevantes para la seguridad, evaluamos cada una según las mejores prácticas actuales y devolvemos una calificación de la A a la F con una breve explicación y una recomendación concreta para cada hallazgo.

A diferencia de una simple comprobación de «¿existe la cabecera?», esta herramienta lee dentro de cada cabecera: analiza sus directivas de CSP, el valor max-age de HSTS, los atributos de sus cookies y su Permissions-Policy, y detecta contradicciones, como un X-Frame-Options obsoleto junto a un frame-ancestors moderno.

Qué se comprueba

  • Transporte: HTTPS y solidez de Strict-Transport-Security (HSTS).
  • Seguridad del contenido: calidad de la Content-Security-Policy, protección contra clickjacking (frame-ancestors / X-Frame-Options) y X-Content-Type-Options.
  • Aislamiento entre orígenes: COOP, COEP y CORP.
  • Privacidad y directivas: Referrer-Policy y Permissions-Policy.
  • Cookies: los atributos Secure, HttpOnly y SameSite en cada Set-Cookie.
  • Divulgación de información: exposición de versiones en Server y X-Powered-By.

Cómo funciona la puntuación

Cada cabecera se pondera según su importancia y aporta un valor parcial de 0 a 1 (correcto / parcial / incorrecto). La puntuación final es la media ponderada de todas las comprobaciones aplicables, redondeada y asignada a una calificación: A a partir de 90, B a partir de 80, C a partir de 70, D a partir de 60 y F por debajo de 60. Las comprobaciones de coherencia (como un X-Frame-Options redundante) se muestran a título informativo, pero no afectan a la puntuación.

Preguntas frecuentes

¿Modifica algo en mi sitio web?

No. Enviamos una única solicitud de solo lectura y analizamos las cabeceras de respuesta. No se modifica nada y nunca realizamos pruebas activas, como solicitudes falsificadas entre orígenes.

¿Por qué mi CSP solo recibió una advertencia?

Una Content-Security-Policy se evalúa por su calidad, no solo por su presencia. Fuentes como 'unsafe-inline' o 'unsafe-eval' en script-src, o un comodín *, debilitan la directiva y obtienen una puntuación parcial. Utilice nonces o hashes para los scripts en línea y conseguir la puntuación completa.

¿Comprueban la configuración de TLS o de certificados?

Aquí no: esta herramienta se centra en las cabeceras de respuesta. Las suites de cifrado y las cadenas de certificados son un tema aparte; utilice un analizador de TLS específico para ello.

¿Se almacena el informe en caché?

Sí, durante una hora por URL, menos que en nuestras otras herramientas, porque las cabeceras de seguridad suelen cambiar mientras se corrigen. Los resultados servidos desde la caché se indican en el informe.