Herramienta gratis

Verificador de Cabeceras HTTP

Analiza las cabeceras HTTP de cualquier URL al instante. Código de estado, tiempo de respuesta y análisis completo de cabeceras de seguridad. Sin registro.

Introduce una URL y pulsa Analizar para ver las cabeceras HTTP

Hecho por

Miguel Ángel Colorado Marin (MACM)

Full-Stack Developer · Guadalajara, España

Desarrollo aplicaciones web, herramientas digitales y proyectos completos — desde el diseño hasta el despliegue.

GitHubLinkedIn
Contáctame

¿Cómo usar el verificador de cabeceras HTTP?

  1. 1

    Introduce la URL

    Escribe o pega la URL completa del sitio que quieres analizar. Puedes incluir o no el protocolo https://, la herramienta lo añade automáticamente si falta.

  2. 2

    Pulsa Analizar

    Haz clic en el botón Analizar o pulsa Enter. La herramienta envía una petición HEAD al servidor y recibe las cabeceras HTTP de respuesta sin descargar el contenido de la página.

  3. 3

    Revisa el código de estado y tiempo de respuesta

    Verás el código HTTP (200 OK, 301 Redirect, 404 Not Found…) y el tiempo de respuesta en milisegundos. Esta información es útil para detectar redirecciones inesperadas o latencia elevada.

  4. 4

    Analiza las cabeceras de seguridad

    La sección de seguridad muestra qué cabeceras críticas tiene tu sitio (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) y cuáles faltan, con su función explicada.

Cabeceras de seguridad importantes

Estas 6 cabeceras HTTP son esenciales para la seguridad de cualquier sitio web. Si alguna falta en tu dominio, puede ser aprovechada por atacantes.

Strict-Transport-Security (HSTS)

Obliga al navegador a usar HTTPS siempre con tu dominio. Previene ataques de downgrade donde un atacante fuerza una conexión HTTP no cifrada.

Content-Security-Policy (CSP)

Define qué recursos puede cargar tu página. Protege contra ataques XSS al limitar qué scripts, estilos e iframes están permitidos.

X-Frame-Options

Controla si tu página puede ser embebida en un iframe. Protege contra clickjacking, donde una página maliciosa superpone tu sitio de forma invisible.

X-Content-Type-Options

Evita que el navegador interprete archivos con un tipo MIME distinto al declarado. Previene ataques de MIME sniffing.

Referrer-Policy

Controla qué información de referrer se envía cuando el usuario navega a otro sitio. Protege la privacidad de tus usuarios.

Permissions-Policy

Controla qué APIs del navegador (cámara, micrófono, geolocalización) puede usar tu página. Reduce la superficie de ataque y protege la privacidad.

Preguntas frecuentes

¿Qué son las cabeceras HTTP?

Las cabeceras HTTP son metadatos que el servidor envía junto con la respuesta. Incluyen información sobre el tipo de contenido, caché, cookies, redirecciones, control de seguridad y mucho más. No son visibles en la página pero son esenciales para el funcionamiento correcto de la web.

¿Qué es HSTS y por qué es importante?

HSTS (HTTP Strict Transport Security) es una cabecera de seguridad que obliga al navegador a usar siempre HTTPS con ese dominio. Previene ataques de downgrade y man-in-the-middle. Se configura con: Strict-Transport-Security: max-age=31536000; includeSubDomains.

¿Qué es CSP y cómo protege mi sitio?

CSP (Content Security Policy) es una cabecera que define qué recursos puede cargar una página web. Permite especificar qué scripts, estilos, imágenes y fuentes son de confianza, reduciendo drásticamente el riesgo de ataques XSS (Cross-Site Scripting).

¿Por qué faltan cabeceras de seguridad en mi sitio?

La mayoría de servidores web no incluyen cabeceras de seguridad por defecto. Debes configurarlas manualmente en tu servidor web (Apache, Nginx), en tu CDN (Cloudflare, Vercel) o directamente en tu aplicación. Cada cabecera ausente es una posible vulnerabilidad de seguridad.

¿Los datos analizados se almacenan?

No. La herramienta envía una petición HEAD al servidor destino desde nuestro servidor y te devuelve las cabeceras. No guardamos ningún dato, historial de búsquedas ni resultados en ningún lugar.

Embebe esta herramienta

Puedes integrar este verificador de cabeceras HTTP en tu blog o web copiando el siguiente iframe:

<iframe src="https://miguelacm.es/embed/http-headers" width="100%" height="600" style="border:none;border-radius:12px;" loading="lazy"></iframe>

¿Quieres ver cómo está hecho? El código fuente está disponible en GitHub.

Ver en GitHub

Herramientas relacionadas

Códigos HTTP

Referencia completa de códigos 1xx-5xx.

Codificador de URLs

Codifica y decodifica URLs.

Formateador JSON

Formatea, valida y minifica JSON.

Consulta de IP

Geolocalización de IPs: país, ISP, zona horaria.