Encabezados de seguridad
Obtiene una URL y puntúa sus encabezados de seguridad HTTP: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Resalta los encabezados ausentes o débiles y añade recomendaciones.
Preguntas frecuentes
- ¿Qué encabezados importan más?
- HSTS fuerza a HTTPS, Content-Security-Policy bloquea XSS, X-Frame-Options bloquea el clickjacking y X-Content-Type-Options bloquea el olfateo de MIME. Faltar cualquiera de estos es una vulnerabilidad común.
- ¿Mi marco los configura automáticamente?
- Generalmente no. Express, Django y Rails requieren una configuración explícita. Utilice casco (Node), django-secure o rack-protection. Cloudflare y Vercel ofrecen alternancia con un solo clic.
- ¿Pueden los encabezados estrictos dañar mi sitio?
- Sí. Un CSP demasiado estricto bloquea scripts en línea y análisis de terceros. Pruebe primero en modo de solo informe, corrija las infracciones y luego aplique.