MI IP

Ver cabeceras HTTP

Escribe la URL de un sitio web para ver el status de su respuesta, la cadena de redirects que siguió y un análisis de sus cabeceras de seguridad (HSTS, CSP, X-Frame-Options y más).

Qué son las cabeceras HTTP y por qué revisarlas

Cada vez que un navegador solicita una página, el servidor responde con cabeceras HTTP: metadatos que viajan junto al contenido y describen cómo debe interpretarse la respuesta, qué políticas de seguridad aplican y cómo debe comportarse el navegador. No son visibles para un visitante común, pero determinan buena parte de la seguridad real de un sitio.

Revisar estas cabeceras es útil al auditar un sitio propio o de un cliente, al diagnosticar por qué un recurso no carga en un iframe, al confirmar que un cambio de configuración en el servidor o CDN realmente se aplicó, o simplemente para entender por dónde pasó una URL antes de llegar a su destino final (la cadena de redirects).

Las cabeceras de seguridad más importantes

Un pequeño grupo de cabeceras de respuesta concentra buena parte de las protecciones que un navegador puede aplicar por indicación del propio servidor: Strict-Transport-Security (HSTS) fuerza HTTPS en visitas futuras, Content-Security-Policy (CSP) limita desde dónde puede ejecutarse código en la página, y X-Frame-Options evita que el sitio se incruste sin permiso dentro de otro (clickjacking).

A ellas se suman X-Content-Type-Options (evita que el navegador reinterprete el tipo de un archivo), Referrer-Policy (controla qué tanto se revela sobre la página de origen al navegar hacia afuera) y Permissions-Policy (restringe el acceso a APIs sensibles como cámara o geolocalización). Ninguna es obligatoria para que un sitio funcione, pero su ausencia deja puertas abiertas que un atacante puede aprovechar.

Si el análisis muestra un certificado o una configuración TLS que quieres revisar en detalle, o simplemente quieres confirmar que un dominio sigue respondiendo, complementa esta herramienta con el resto del kit de sitios web. También puedes revisar los registros de un dominio con el DNS Checker.

Preguntas frecuentes sobre cabeceras HTTP

¿Qué es HSTS?

Strict-Transport-Security es una cabecera que le indica al navegador que, en visitas futuras, se conecte siempre por HTTPS a ese dominio, incluso si el usuario escribe http:// o sigue un enlace antiguo. Evita ataques que intentan degradar la conexión a HTTP sin cifrar.

¿Qué es una CSP (Content-Security-Policy)?

Es una cabecera que declara desde qué orígenes puede la página cargar scripts, estilos, imágenes u otros recursos. Bien configurada, reduce drásticamente el impacto de vulnerabilidades de inyección de código (XSS), aunque un script malicioso logre insertarse en el HTML.

¿Por qué debería tener X-Frame-Options?

Sin esta cabecera, cualquier otro sitio puede incrustar tu página dentro de un iframe invisible o disfrazado y engañar a tus visitantes para que hagan clic en algo distinto a lo que ven (clickjacking). X-Frame-Options (o el directive frame-ancestors de una CSP) evita ese escenario.

¿Esto revisa mi sitio web o cualquier sitio?

Cualquier sitio público: solo necesitas escribir su URL. Es útil tanto para auditar un dominio propio como para revisar la configuración de seguridad de cualquier página que te interese, siempre que no apunte a una dirección privada o interna.

¿Qué significa que una cabecera de seguridad aparezca como "ausente"?

Que la respuesta final del sitio (tras seguir todos los redirects) no incluyó esa cabecera. No implica necesariamente una vulnerabilidad grave, pero sí una protección adicional que el sitio no está aprovechando.