Toolypet
Herramientas de Seguridad/Cabeceras de Seguridad

Cabeceras de Seguridad

Genera cabeceras de seguridad HTTP para tu servidor web

Preajustes

Cabeceras de Seguridad

Forces HTTPS connections for secure communication

Prevents clickjacking attacks by controlling iframe embedding

Prevents MIME type sniffing attacks

Legacy XSS filter (deprecated, use CSP instead)

Controls how much referrer information is sent

Controls browser features and APIs

Prevents loading cross-origin resources without permission

Isolates browsing context from cross-origin documents

Protects resources from being loaded by other origins

Salida Generada

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

5 cabeceras habilitadas

Nota de Implementación

Agrega estas cabeceras a la configuración de tu servidor web. Para Nginx, agrégalas al bloque server. Para Apache, agrégalas a .htaccess o httpd.conf. Prueba exhaustivamente antes de desplegar en producción.

Guía de Cabeceras de Seguridad

Aprende a proteger tu aplicación web con cabeceras HTTP de seguridad

¿Qué son las Cabeceras de Seguridad?

Las cabeceras HTTP de seguridad son directivas enviadas por los servidores web a los navegadores que ayudan a proteger contra vulnerabilidades web comunes. Controlan cómo los navegadores manejan el contenido de tu sitio, previniendo ataques como XSS, clickjacking e inyección de datos.

Cómo Usar

  1. Elige un preajuste (Básico, Recomendado o Estricto) según tus necesidades de seguridad
  2. Activa/desactiva cabeceras individuales y personaliza sus valores
  3. Selecciona tu formato de salida (Raw, Nginx o Apache)
  4. Copia la configuración generada y agrégala a tu servidor web

Mejores Prácticas

Preguntas Frecuentes

¿Cuáles cabeceras son las más importantes?

Las cabeceras esenciales son: Strict-Transport-Security (HSTS) para forzar HTTPS, X-Content-Type-Options para prevenir MIME sniffing, y X-Frame-Options o CSP frame-ancestors para prevenir clickjacking. Estas tres proporcionan protección significativa contra ataques comunes con problemas mínimos de compatibilidad.

¿Estas cabeceras romperán mi sitio web?

La mayoría de cabeceras como HSTS, X-Content-Type-Options y Referrer-Policy son seguras y no romperán la funcionalidad. Sin embargo, configuraciones estrictas de COOP/COEP pueden afectar recursos cross-origin. Siempre prueba primero en un entorno de staging, especialmente si tu sitio usa scripts de terceros, iframes o APIs cross-origin.

¿Cuál es la diferencia entre X-Frame-Options y CSP frame-ancestors?

Ambas previenen clickjacking pero CSP frame-ancestors es más flexible y moderno. X-Frame-Options solo soporta DENY o SAMEORIGIN, mientras que frame-ancestors permite dominios específicos. CSP frame-ancestors tiene precedencia cuando ambas están configuradas. Usa frame-ancestors si necesitas permitir que sitios específicos incrusten tu contenido.

¿Debería usar HSTS preload?

HSTS preload agrega tu dominio a la lista integrada de solo HTTPS de los navegadores. Esto proporciona máxima protección pero es difícil de revertir. Antes de habilitar preload: asegúrate de que todos los subdominios soporten HTTPS, comprométete permanentemente con HTTPS, y comienza con un max-age corto. Solo agrega la directiva preload cuando estés seguro.

¿Qué son las cabeceras COOP, COEP y CORP?

Son cabeceras de aislamiento para seguridad avanzada. COOP (Cross-Origin-Opener-Policy) aísla tu ventana de popups cross-origin. COEP (Cross-Origin-Embedder-Policy) asegura que todos los recursos se compartan explícitamente. CORP (Cross-Origin-Resource-Policy) controla quién puede cargar tus recursos. Juntas habilitan características poderosas como SharedArrayBuffer pero requieren que todos los recursos opten por participar.

Herramientas Relacionadas

Ver Todas las Herramientas de Seguridad

CSP Builder

Build Content-Security-Policy headers

Password Generator

Generate secure passwords

SHA Hash Generator

Generate SHA hashes