Comprobación de encabezados de seguridad

Introduce la URL de tu sitio para calificar sus encabezados HTTP de seguridad (CSP, HSTS, X-Frame-Options, …), con correcciones para lo que falte y un conjunto reforzado para copiar y pegar.

El servidor de este sitio obtiene la URL de destino una sola vez y evalúa únicamente los encabezados de la respuesta (el cuerpo no se almacena). El acceso a direcciones internas / privadas está bloqueado.

Probar un ejemplo (comprobar este mismo sitio)

Calificación general

86 / 100

https://itdef.net/ja

Content-Security-PolicyDébil
Valor actual: default-src 'self'; img-src 'self' data: blob: https://www.googletagmanager.com https://www.google-analytics.com https://*.google-analytics.com https://*.analyt…
Capa clave que reduce el impacto de XSS. Evita unsafe-inline. default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security (HSTS)OK
Valor actual: max-age=63072000; includeSubDomains; preload
X-Frame-OptionsOK
Valor actual: DENY
X-Content-Type-OptionsOK
Valor actual: nosniff
Referrer-PolicyOK
Valor actual: strict-origin-when-cross-origin
Permissions-PolicyOK
Valor actual: camera=(), microphone=(), geolocation=(), browsing-topics=()
Cross-Origin-Opener-PolicyOK
Valor actual: same-origin-allow-popups
Divulgación de información (Server / X-Powered-By)OK

Prompt de remediación para IA (copiar y pegar)

Pégalo en Claude / ChatGPT para obtener correcciones concretas para tu stack.

Eres un experto en seguridad web. A mi sitio (https://itdef.net/ja) le faltan algunos encabezados HTTP de seguridad. Solo con fines defensivos, dime cómo configurar lo siguiente de forma segura en mi servidor/framework (nginx / Caddy / Apache / Next.js, etc.) con ejemplos de código concretos. Si no sabes qué servidor uso, pregunta. Dime también cómo verificar después que los encabezados se aplican correctamente.

- Content-Security-Policy（débil）→ default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

Nota: mantén el comportamiento existente funcionando (analítica, anuncios); haz que la configuración sea retrocompatible. No se necesitan técnicas de ataque ni bypass.

Encabezados recomendados (punto de partida para copiar y pegar)

Empieza devolviéndolos desde tu servidor (nginx / Caddy / aplicación).

Content-Security-Policy: default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

Cómo usarla

1
Introduce la URL de un sitio que controles.
2
Se califican los principales encabezados de seguridad por su presencia y fortaleza.
3
Refuerza los elementos «ausentes» / «débiles» usando la corrección mostrada y el conjunto recomendado.

Por qué importa

Los encabezados de seguridad son una capa de defensa barata y eficaz. CSP limita el impacto de XSS, HSTS fija el tráfico a HTTPS, X-Frame-Options bloquea el clickjacking: cada uno son unas pocas líneas de configuración del servidor. Empieza con valores estrictos y relájalos solo cuando sea necesario.

Preguntas frecuentes

Q¿Está bien comprobar el sitio de otra persona?

La herramienta obtiene la URL una vez y lee los encabezados de la respuesta: no hay escaneo activo ni ataque (el mismo alcance que abrirla en un navegador). Está pensada para comprobar tu propio sitio.

Q¿Es peligroso cualquier resultado por debajo de A?

No. Algunos encabezados no aplican a todos los sitios. Los importantes son CSP, HSTS, X-Frame-Options y X-Content-Type-Options; con esos en su sitio estás en buena forma.