Inspector de cabeceras HTTP
Inspeccione las cabeceras de respuesta y la política de seguridad de cualquier URL. Verifique HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy junto con Server, Content-Type, Cache-Control de un vistazo.
Introduce una URL pública. Nuestro servidor la consulta una vez y devuelve las cabeceras — sin cuerpo, sin ejecución de JavaScript.
Qué buscar
Los sitios modernos usan cabeceras de respuesta para reforzar el navegador. Strict-Transport-Security obliga a HTTPS. Content-Security-Policy limita qué scripts y frames pueden cargar. X-Frame-Options para clickjacking. Server y X-Powered-By revelan versiones — muchos sitios los eliminan. El estado, redirecciones y URL final también dicen mucho sobre la configuración.
Casos de uso comunes
- 1Audit a website's security posture — see in one click which of HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are present.
- 2Depura una cadena de redirecciones — pega una URL de campaña o enlace acortado y observa cada salto 301/302 hasta la landing final, además de la URL final que carga el navegador.
- 3Confirma cache y config de CDN — Cache-Control, ETag, Age y CF-Cache-Status revelan si tus assets vienen del origin, del edge cache o de un stale revalidate.
Preguntas frecuentes
What's a good security header score?+
Un sitio moderno debería enviar al menos HSTS, CSP, X-Frame-Options o frame-ancestors en CSP, X-Content-Type-Options: nosniff y una Referrer-Policy. Permissions-Policy se espera cada vez más.
Mi sitio no tiene ninguna de estas cabeceras — ¿es malo?+
Es una oportunidad perdida, no siempre una emergencia. Añade primero HSTS para forzar HTTPS. Luego una Referrer-Policy estricta. CSP es la defensa más fuerte pero requiere más planificación.
¿Por qué la cabecera Server está oculta en algunos sitios?+
Mature sites strip Server and X-Powered-By to make version-specific exploits harder. Cloudflare and CDN-fronted origins often replace the value with "cloudflare" or remove it entirely.