Analizador de cabeceras HTTP de seguridad

Obtener desde URL

o pega las cabeceras manualmente

Cabeceras de respuesta

content-security-policy: default-src 'none'; script-src 'self' 'nonce-MASKED' 'strict-dynamic'; style-src 'self' 'nonce-MASKED'; img-src 'self' data: https://*.jmrp.io; font-src 'self'; connect-src 'self' https://api.github.com https://cloudflareinsights.com https://*.cloudflareinsights.com; media-src 'self'; manifest-src 'self'; frame-src 'none'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'; upgrade-insecure-requests; report-uri /csp-report
strict-transport-security: max-age=63072000; includeSubDomains; preload
x-content-type-options: nosniff
x-frame-options: DENY
referrer-policy: strict-origin-when-cross-origin
permissions-policy: accelerometer=(), autoplay=(), browsing-topics=(), camera=(), encrypted-media=(), fullscreen=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=(), picture-in-picture=(), publickey-credentials-get=(self), sync-xhr=(), usb=(), xr-spatial-tracking=()
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
cross-origin-embedder-policy: require-corp
set-cookie: __Host-Session=1; path=/; Secure; HttpOnly; SameSite=Strict
set-cookie: __Secure-Pref=1; path=/; Secure; HttpOnly; SameSite=Strict
server: jmrp.io

Acerca de esta herramienta

Analiza las cabeceras HTTP de respuesta en busca de buenas prácticas de seguridad. La herramienta evalúa 10 cabeceras de seguridad críticas, detecta fugas de información y proporciona una puntuación ponderada con recomendaciones prácticas. Puedes pegar las cabeceras manualmente u obtenerlas directamente desde una URL.

Cabeceras analizadas

Content-Security-Policy (25 pts) — prevención de XSS e inyecciones
Strict-Transport-Security (15 pts) — forzado de HTTPS
X-Content-Type-Options (10 pts) — prevención de MIME sniffing
X-Frame-Options (8 pts) — protección contra clickjacking
Referrer-Policy (8 pts) — control de información del referrer
Permissions-Policy (8 pts) — restricciones de funcionalidades del navegador
Cross-Origin-Opener-Policy (8 pts) — aislamiento del contexto de navegación
Cross-Origin-Resource-Policy (8 pts) — control de carga de recursos
Cross-Origin-Embedder-Policy (7 pts) — control de incrustación
X-XSS-Protection (3 pts) — filtro XSS legacy (debe estar desactivado)

Además, la herramienta comprueba fugas de información a través de las cabeceras Server, X-Powered-By y X-AspNet-Version.

Escala de calificación

A+ (90-100) — Postura de seguridad excelente
A (80-89) — Sólida, con mejoras menores posibles
B (70-79) — Buena, faltan algunas cabeceras
C (50-69) — Aceptable, faltan varias cabeceras importantes
D (30-49) — Deficiente, con carencias importantes
F (0-29) — Crítica, faltan la mayoría de cabeceras

Cómo usar

Introduce una URL y pulsa Fetch, o pega las cabeceras desde DevTools del navegador o curl
Pulsa Analyze para ver la puntuación de seguridad y las recomendaciones
Corrige las cabeceras que falten en la configuración de tu servidor y vuelve a analizar

Privacidad

Todo el análisis se realiza íntegramente en tu navegador. Cuando usas la función Fetch, la solicitud se hace directamente desde tu navegador — no se utiliza ningún proxy del lado del servidor. Ten en cuenta que las restricciones de CORS pueden limitar las cabeceras visibles; usa curl para obtener resultados completos.

Referencia de comandos Linux

Puedes inspeccionar las cabeceras HTTP desde la terminal con estas herramientas:

curl — Solo cabeceras

curl -sI https://example.com

HTTP/2 200date: Thu, 12 Feb 2026 07:37:48 GMTcontent-type: text/htmlcf-ray: 9cca6c3e7e52ddef-MADlast-modified: Wed, 11 Feb 2026 23:52:30 GMTaccept-ranges: bytescf-cache-status: HITserver: cloudflare

curl — Filtrar cabeceras de seguridad

strict-transport-security: max-age=63072000; includeSubDomains; preloadx-content-type-options: nosniffx-frame-options: DENYreferrer-policy: strict-origin-when-cross-origincross-origin-embedder-policy: require-corpcross-origin-opener-policy: same-origincross-origin-resource-policy: same-origincontent-security-policy: default-src 'self'; script-src 'self' ...

curl — Verbose (TLS + cabeceras)

curl -sv https://example.com -o /dev/null 2>&1 | grep '< '

< HTTP/2 200< date: Thu, 12 Feb 2026 07:37:48 GMT< content-type: text/html< server: cloudflare

wget — Modo spider

wget -S --spider https://example.com 2>&1 | grep '^\s'

HTTP/1.1 200 OKDate: Thu, 12 Feb 2026 07:37:52 GMTContent-Type: text/htmlcf-cache-status: HITserver: cloudflare

Comprobar una cabecera específica

# Comprobar si HSTS está presente curl -sI https://jmrp.io | grep -i strict-transport # Comprobar la política CSP curl -sI https://jmrp.io | grep -i content-security-policy

strict-transport-security: max-age=63072000; includeSubDomains; preloadcontent-security-policy: default-src 'self'; script-src 'self' ...

Comparar varios sitios

=== example.com ===0 security headers found=== jmrp.io ===9 security headers found=== github.com ===5 security headers found

Más información

Consulta

Implementar CSP en Nginx

para una guía detallada sobre la configuración de cabeceras de seguridad.