¿Por que no veo todos los headers?

Los navegadores bloquean peticiones CORS a sitios que no incluyen el header Access-Control-Allow-Origin. En esos casos la herramienta muestra el error de preflight y sugiere usar curl desde la terminal para ver los headers completos.

¿Como se calcula el score de seguridad?

Se evalua la presencia de 7 headers de seguridad con peso según su criticidad: HSTS y CSP aportan más (alta severidad), X-Content-Type-Options y X-Frame-Options (media), Referrer-Policy, Permissions-Policy y X-XSS-Protection (baja). Score 80+ es bueno, 50-79 mejorable, menos de 50 deficiente.

HTTP Strict Transport Security obliga al navegador a usar siempre HTTPS en futuros accesos al sitio, incluso si el usuario escribe http://. Previene ataques de downgrade y man-in-the-middle. Se recomienda max-age de al menos 1 ano (31536000 segundos).

Content Security Policy define que recursos (scripts, estilos, imágenes, iframes) puede cargar la página. Una politica CSP restrictiva es la defensa más efectiva contra ataques XSS (Cross-Site Scripting).

Inspector de HTTP headers

Analiza los headers HTTP de cualquier URL: seguridad (HSTS, CSP, X-Frame-Options), cache (Cache-Control, ETag) y tipo de contenido. Score de seguridad 0-100 con recomendaciones de hardening.

Inicia sesion para usar esta herramienta

Gratis y sin contrasena — solo con tu cuenta Google

Siguiente paso

Analizador de título SEO

Preguntas frecuentes

¿Por que no veo todos los headers?: Los navegadores bloquean peticiones CORS a sitios que no incluyen el header Access-Control-Allow-Origin. En esos casos la herramienta muestra el error de preflight y sugiere usar curl desde la terminal para ver los headers completos.
¿Como se calcula el score de seguridad?: Se evalua la presencia de 7 headers de seguridad con peso según su criticidad: HSTS y CSP aportan más (alta severidad), X-Content-Type-Options y X-Frame-Options (media), Referrer-Policy, Permissions-Policy y X-XSS-Protection (baja). Score 80+ es bueno, 50-79 mejorable, menos de 50 deficiente.
¿Que es HSTS?: HTTP Strict Transport Security obliga al navegador a usar siempre HTTPS en futuros accesos al sitio, incluso si el usuario escribe http://. Previene ataques de downgrade y man-in-the-middle. Se recomienda max-age de al menos 1 ano (31536000 segundos).
¿Que hace CSP?: Content Security Policy define que recursos (scripts, estilos, imágenes, iframes) puede cargar la página. Una politica CSP restrictiva es la defensa más efectiva contra ataques XSS (Cross-Site Scripting).

Analizador de entropía de contraseñas

Mide la entropía real de una contraseña, estima el tiempo de cracking en distintos escenarios (online, offline, GPU) y explica por qué es fuerte o débil. Procesado 100% en tu navegador.

Gratis

Validador JSON Schema

Valida un JSON contra un JSON Schema (Draft-07 subset). Muestra los errores con path, mensaje y valor problematico. Sin dependencias externas, 100% en tu navegador.

Gratis

Siguiente paso

Preguntas frecuentes

Herramientas relacionadas

Analizador de entropía de contraseñas

Validador JSON Schema