Inspector de encabezados HTTP

¿Qué son las cabeceras HTTP?

Las cabeceras HTTP son metadatos enviados entre un cliente (navegador) y un servidor con cada petición y respuesta web. Controlan el caché, la autenticación, el tipo de contenido, las políticas de seguridad y muchos otros aspectos de la comunicación web. Esta herramienta te permite inspeccionar las cabeceras de respuesta devueltas por cualquier URL, ayudándote a depurar aplicaciones web y verificar configuraciones de seguridad.

Las cabeceras son pares clave-valor enviados antes del contenido real de la página. Cabeceras de respuesta comunes incluyen Content-Type (qué tipo de datos se envía), Cache-Control (cuánto cachear), Set-Cookie (almacenar datos de sesión) y varias cabeceras de seguridad como Content-Security-Policy y Strict-Transport-Security.

Cabeceras de seguridad importantes

• Strict-Transport-Security (HSTS) — fuerza a los navegadores a usar HTTPS para todas las conexiones futuras.
• Content-Security-Policy (CSP) — controla qué recursos puede cargar la página, previniendo ataques XSS.
• X-Content-Type-Options — evita que los navegadores adivinen tipos de contenido, bloqueando ciertos ataques.
• X-Frame-Options — evita que tu página se incruste en iframes en otros sitios (protección contra clickjacking).
• Referrer-Policy — controla cuánta información de referrer se envía al navegar fuera de tu sitio.

Cómo usar esta herramienta

Introduce una URL y la herramienta carga la página y muestra todas las cabeceras de respuesta. Las cabeceras relevantes para seguridad se resaltan y evalúan. Las cabeceras de seguridad recomendadas que falten se marcan para que puedas mejorar la configuración de seguridad de tu sitio.

Cabeceras de caché explicadas

Las cabeceras Cache-Control determinan si y por cuánto tiempo los navegadores y CDNs almacenan respuestas. Directivas comunes incluyen max-age (segundos a cachear), no-cache (revalidar antes de usar la copia cacheada), no-store (nunca cachear) y public/private (si las cachés compartidas como CDN pueden almacenarla). Una caché adecuada mejora drásticamente la velocidad de carga y reduce la carga del servidor.

Preguntas frecuentes

¿Por qué debería comprobar las cabeceras HTTP?

Las cabeceras revelan errores de configuración de seguridad (HSTS o CSP ausentes), problemas de caché (max-age incorrecto causando contenido obsoleto) y filtraciones de información del servidor (cabecera Server revelando versiones exactas). Comprobar regularmente las cabeceras ayuda a mantener seguridad y rendimiento. Las herramientas de auditoría de seguridad y los pentesters siempre empiezan con análisis de cabeceras.

¿Cuál es la diferencia entre cabeceras de petición y de respuesta?

Las cabeceras de petición las envía el navegador al servidor (como Accept, User-Agent, Cookie). Las cabeceras de respuesta las envía el servidor al navegador (como Content-Type, Set-Cookie, Cache-Control). Esta herramienta muestra cabeceras de respuesta porque revelan la configuración del servidor y los ajustes de seguridad. Puedes ver las cabeceras de petición en las herramientas de desarrollador de tu navegador (pestaña Network).