Esta herramienta audita la conformidad de seguridad de los encabezados de respuesta HTTP analizando los encabezados sin procesar que pegas — nunca hace una petición de red, así que sirve para sitios internos/detrás de auth/restringidos por CORS, artefactos de CI o ejemplos de documentación.
En qué se diferencia del HTTP Headers Analyzer: esa herramienta obtiene una URL en vivo y solo verifica la presencia del encabezado (booleano). Esta herramienta hace comprobaciones profundas a nivel de valor en un conjunto más amplio.
Qué verifica (12 encabezados, nivel de valor):
- Crítico (ausente o incorrecto = alto riesgo): HSTS (max-age ≥ 31536000, includeSubDomains, preload), Content-Security-Policy (sin unsafe-inline/unsafe-eval/comodín, con default-src o script-src), X-Content-Type-Options (debe ser nosniff).
- Advertencia (recomendado): X-Frame-Options (DENY/SAMEORIGIN; nota que CSP frame-ancestors lo reemplaza), Referrer-Policy (no unsafe-url/no-referrer-when-downgrade), Permissions-Policy.
- Info (endurecimiento de aislamiento extra): Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Resource-Policy, X-Permitted-Cross-Domain-Policies, Clear-Site-Data, Cache-Control.
Formato de entrada: encabezados de respuesta HTTP sin procesar — un Nombre: Valor por línea, como los que produce curl -I, la pestaña Network de DevTools del navegador o volcados HTTP. Las líneas de estado (HTTP/1.1 200 OK) y las líneas en blanco se omiten automáticamente.
Calificación (deducción desde 100): −20 por crítico, −8 por advertencia. Nota de letra de A+ a F. Cada hallazgo muestra el valor actual, qué está mal y un valor de encabezado recomendado listo para copiar.
Esta herramienta solo inspecciona cabeceras de seguridad — no revisa cabeceras de divulgación de información (Server/X-Powered-By) ni atributos de cookies. Úsala para endurecer la postura de cabeceras de un sitio antes de desplegar.