Revisa los encabezados de respuesta HTTP y analiza los encabezados de seguridad de cualquier sitio web.
Comprueba los cabezales
¿Qué son los encabezados HTTP?
Los encabezados HTTP son metadatos que se envían entre el navegador y el servidor con cada solicitud y respuesta. Controlan el almacenamiento en caché, la autenticación, el tipo de contenido, las políticas de seguridad y mucho más. Analizar los encabezados ayuda a diagnosticar problemas de rendimiento y a verificar las configuraciones de seguridad.
Cómo funciona esta herramienta
Introduce una URL completa y la herramienta enviará una solicitud `HEAD` a través de una función de borde de Xitoring. Capturamos todos los encabezados de respuesta —incluidos aquellos relevantes para la seguridad que las herramientas de desarrollo de tu navegador pueden ocultar o contraer— y luego los clasificamos para que puedas ver de un vistazo qué medidas de protección están activadas y cuáles faltan. La herramienta sigue las redirecciones hasta tres saltos, por lo que una URL del tipo `http://...` se muestra con sus encabezados HTTPS finales.
Encabezados de seguridad importantes
Strict-Transport-Security — Fuerza conexiones HTTPS y previene ataques de degradación
Content-Security-Policy — Controla qué recursos puede cargar el navegador
X-Frame-Options — Previene el clickjacking controlando la incrustación en iframe
X-Content-Type-Options — Previene ataques de sniffing de tipo MIME
Referrer-Policy — Controla cuánta información de referente se envía con las solicitudes
Supervisa el tiempo de actividad y el rendimiento de tu sitio web
Supervisa de forma continua el estado HTTP, los tiempos de respuesta y los certificados SSL.
Cómo funciona esta herramienta y qué información proporcionan realmente los encabezados de respuesta.
¿Esta herramienta envía mi URL a través de los servidores de Xitoring?
Sí, la solicitud pasa por una función de borde de Xitoring, lo que nos permite recuperar los encabezados desde fuera de tu red y devolver una respuesta limpia, incluyendo los puntos finales restringidos por CORS que, de otro modo, el navegador bloquearía. No registramos la URL ni el contenido de la respuesta. Si necesitas inspeccionar una URL que prefieres no compartir con terceros, utiliza `curl -I ` de forma local.
¿Por qué faltan algunos encabezados de seguridad en mi sitio web?
Los encabezados de seguridad como `Content-Security-Policy`, `Strict-Transport-Security` y `X-Frame-Options` son opcionales; no se envían de forma predeterminada. Para añadirlos, es necesario configurar bien el servidor web de origen (Nginx, Apache, IIS) o la red de distribución de contenidos (CDN) (Cloudflare, Fastly, AWS CloudFront). La lista de encabezados que faltan en el resultado te indica cuáles debes añadir y, a grandes rasgos, contra qué protege cada uno.
¿Debería preocuparme si mi sitio web no tiene una política de seguridad de contenidos (Content-Security-Policy)?
La política de seguridad de contenidos (CSP) es la medida de protección más eficaz contra los ataques de tipo «cross-site scripting», pero también es el encabezado más difícil de implementar correctamente, ya que puede impedir el funcionamiento de scripts legítimos. Si tu sitio web carga contenido generado por los usuarios, incorpora widgets de terceros o acepta envíos de formularios, da prioridad a la CSP. Empieza en el modo `Content-Security-Policy-Report-Only`, recopila las infracciones durante una semana y, a continuación, pasa al modo de aplicación.
¿Cuál es la diferencia entre HSTS y una redirección de HTTP a HTTPS?
Una redirección HTTPS se realiza del lado del servidor: devuelve un código 301 o 308 la primera vez que alguien solicita `http://...`. Esa primera solicitud sigue transmitiéndose en texto plano y puede ser interceptada. HSTS (`Strict-Transport-Security`) es un encabezado que, una vez que el navegador lo ha detectado, rechaza por completo las solicitudes en texto plano a tu dominio, incluso antes de que el usuario escriba `https://`. La directiva `preload`, junto con el envío a `hstspreload.org`, incluye tu dominio en la lista de precarga del navegador, por lo que incluso la primera conexión está protegida.
¿Puedo consultar direcciones URL internas o privadas con esta herramienta?
Solo si son accesibles desde la red pública de Internet. La recuperación se realiza del lado del servidor desde nuestro punto periférico, por lo que las URL que se encuentren detrás de una VPN, en una red privada o a las que solo se pueda acceder a través de `localhost` no funcionarán. Para servicios internos, ejecuta `curl -I ` desde un host dentro de la red, o utiliza la [supervisión de sitios web](https://xitoring.com/website-monitoring) de Xitoring, que puede realizar pruebas desde un nodo privado.
¿Por qué el tiempo de respuesta difiere del que muestra mi navegador?
El tiempo indicado mide una única solicitud `HEAD` desde nuestro servidor periférico hasta el tuyo; se trata del tiempo de ida y vuelta más el tiempo necesario para generar los encabezados de respuesta. La medición de su navegador también incluye la resolución de DNS, el protocolo de enlace TLS, la descarga completa del cuerpo de la página, la ejecución de scripts que bloquean la visualización y cualquier redireccionamiento que se produzca entre medias. Para obtener un rendimiento real en el campo, utilice Real User Monitoring (RUM) o Core Web Vitals a través de PageSpeed Insights; para comprobaciones sintéticas desde múltiples ubicaciones geográficas, utilice la monitorización de sitios web de Xitoring.