Skip to main content
Toolzer — Free Online Tools

Escáner de Encabezados de Seguridad

Comprueba si un sitio web envía los encabezados de seguridad HTTP que protegen a los usuarios contra ataques XSS, clickjacking y degradación de protocolo.

Acerca de la herramienta

Los encabezados de seguridad HTTP son la defensa más económica y de mayor impacto que tiene un sitio web: un solo encabezado de respuesta puede bloquear el 'clickjacking', forzar HTTPS durante un año o anular toda una clase de ataques XSS. Este escáner obtiene cualquier URL, lee los encabezados que devuelve su servidor y califica el resultado de A a F según la base de referencia moderna: HSTS, CSP, X-Frame-Options, COOP, COEP, CORP, Referrer-Policy y Permissions-Policy.

Preguntas frecuentes

¿Qué calificación debo buscar?

Cualquier sitio de producción debe alcanzar al menos una B. Apuntar a una A requiere una Content-Security-Policy real, lo que implica ingeniería deliberada, pero es la mitigación XSS más efectiva disponible.

¿Es difícil implementar CSP?

Sí, en sitios heredados. Comience en el modo Content-Security-Policy-Report-Only, monitoree las violaciones y luego promueva a la aplicación una vez que sus scripts en línea y terceros estén inventariados.

¿Por qué no está X-XSS-Protection en la lista?

Está obsoleto y eliminado de los navegadores modernos. CSP lo reemplaza. Mantenga sus encabezados concisos, no extensos.

¿El escáner sigue las redirecciones?

Sí. Calificamos la respuesta final, por lo que un dominio que redirige HTTP → HTTPS se califica según la respuesta HTTPS, que es lo que importa a los usuarios.