Verificador de Encabezados de Seguridad
Evalúa la seguridad de los encabezados HTTP de tu sitio web con nuestra herramienta. Identifica configuraciones faltantes y vulnerabilidades que pueden comprometer la protección de tus datos. Asegúrate de que tu sitio esté protegido contra ataques comunes y mejora su seguridad con recomendaciones específicas.
Referencia Técnica de Encabezados de Seguridad
Información detallada sobre cada encabezado de seguridad y su importancia:
Un potente encabezado de seguridad que ayuda a prevenir ataques de inyección de código como Cross-Site Scripting (XSS). Permite especificar qué recursos (scripts, estilos, imágenes, etc.) pueden ser cargados por el navegador.
default-src 'self'; script-src 'self' https://trusted.com;Comience con una política estricta y relájela gradualmente según sea necesario. Siempre incluya la directiva default-src.
Obliga a los navegadores a usar HTTPS en lugar de HTTP para todas las solicitudes futuras a su dominio. Esto ayuda a prevenir ataques de degradación de protocolo y secuestro de cookies.
max-age=31536000; includeSubDomains; preloadUtilice un max-age largo (al menos 1 año) e incluya subdominios si corresponde.
Impide que su sitio web sea incrustado en iframes en otros sitios, protegiendo contra ataques de clickjacking.
SAMEORIGINUse DENY para prevenir completamente el encuadre, o SAMEORIGIN para permitir el encuadre solo desde su propio dominio.
Habilita el filtro XSS incorporado del navegador. Aunque los navegadores modernos se están alejando de este encabezado, proporciona una capa adicional de protección para navegadores más antiguos.
1; mode=blockUse "1; mode=block" para habilitar la protección y bloquear la página si se detecta un ataque.
Evita que los navegadores realicen MIME-sniffing de una respuesta diferente al tipo de contenido declarado, reduciendo la exposición a ataques de descarga involuntaria.
nosniffSiempre configure "nosniff" para prevenir la detección de tipos MIME.
Controla cuánta información de referencia debe incluirse con las solicitudes. Esto ayuda a proteger la privacidad del usuario al controlar qué información se envía a otros sitios.
strict-origin-when-cross-originUse "strict-origin-when-cross-origin" para un buen equilibrio entre seguridad y funcionalidad.
Controla qué características y APIs del navegador pueden ser usadas en su sitio web. Esto ayuda a prevenir el abuso de características sensibles del navegador.
geolocation=(), microphone=(), camera=()Deshabilite las características que no necesita y controle cuidadosamente el acceso a características sensibles.
Permite a los sitios web especificar qué autoridades de certificación deben ser confiables para su dominio. Esto ayuda a prevenir ataques de intermediarios.
pin-sha256="base64=="; max-age=5184000Incluya al menos dos pins y un plan de respaldo. Nota: Este encabezado está siendo desaprobado a favor de la Transparencia de Certificados.
Características Clave
- Análisis exhaustivo de encabezados de seguridad
- Verificación de encabezados en tiempo real
- Recomendaciones detalladas para cada encabezado
- Soporte para todos los principales encabezados de seguridad
- Indicadores de estado fáciles de entender
Casos de Uso Comunes
- Auditorías de seguridad de sitios web
- Verificación de cumplimiento de seguridad
- Pruebas de desarrollo web
- Implementación de políticas de seguridad
- Monitoreo regular de seguridad
Cómo Usar
- Ingrese la URL del sitio web que desea verificar
- Haga clic en el botón "Verificar Encabezados"
- Espere a que se complete el análisis
- Revise los resultados y las recomendaciones
- Implemente las mejoras de seguridad sugeridas