Inspector de encabezados HTTP

Inspecciona encabezados de respuesta HTTP de cualquier URL. Analiza encabezados de seguridad (HSTS, CSP, X-Frame-Options) y caché.

Ejecuta una verificación para ver resultados

APIPOST /api/v1/web/headers
5(12 votos)
6
comprobaciones realizadas
Prueba también: Verificador SSL
Verificar

Características principales

100% gratuito

Sin registro, comprobaciones ilimitadas

Resultados instantáneos

Análisis en tiempo real con informes detallados

Acceso REST API

Integra en tu flujo de trabajo a través de API

Datos precisos

Consultas en tiempo real a fuentes autorizadas

¿Qué es Inspector de encabezados HTTP?

El inspector de cabeceras HTTP envía una petición a cualquier URL y muestra todas las cabeceras de respuesta devueltas por el servidor web, organizadas por categoría y con indicadores claros para cabeceras críticas de seguridad. Resalta la presencia o ausencia de cabeceras de seguridad esenciales (Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy), muestra directivas de caché (Cache-Control, ETag, Expires) que afectan al rendimiento, identifica el software del servidor y stack tecnológico, y muestra codificación de contenido, configuración CORS y atributos de cookies. Las cabeceras de respuesta HTTP controlan cómo los navegadores manejan tus páginas web — dictan políticas de seguridad, comportamiento de caché, renderizado de contenido y acceso cross-origin.

Esta herramienta gratuita es utilizada por desarrolladores web, ingenieros de seguridad, especialistas SEO que comprueban cabeceras de caché y compresión, y equipos DevOps que depuran modificaciones de cabeceras por proxy, CDN y balanceadores de carga.

Cómo usar

  1. 1Introduce la URL completa que deseas inspeccionar (por ejemplo, https://tudominio.com/pagina)
  2. 2Haz clic en Verificar para enviar una petición HTTP y recuperar todas las cabeceras de respuesta
  3. 3Revisa las cabeceras de seguridad primero: HSTS, CSP, X-Frame-Options, X-Content-Type-Options — las ausentes se señalan
  4. 4Comprueba las cabeceras de caché: Cache-Control, ETag y Expires — una caché correcta mejora significativamente la velocidad
  5. 5Observa la cabecera Server para identificar el software y versión del servidor web
  6. 6Busca cabeceras de compresión (Content-Encoding: gzip/br) para verificar que tu servidor comprime las respuestas

Quién lo utiliza

Administradores de sistemas

Supervisión y resolución de problemas de infraestructura

Desarrolladores

Depuración de problemas de red e integración vía API

Especialistas en SEO

Verificación de la configuración del dominio y rendimiento

Analistas de seguridad

Auditoría y evaluación de la seguridad de red

Preguntas frecuentes

¿Qué son las cabeceras de respuesta HTTP y por qué importan?
Las cabeceras HTTP de respuesta son metadatos enviados por el servidor web junto con cada página o recurso que sirve. Son invisibles para los visitantes normales pero controlan aspectos críticos de cómo los navegadores manejan tu contenido: políticas de seguridad (previniendo XSS, clickjacking y otros ataques), comportamiento de caché (cuánto tiempo los navegadores almacenan recursos antes de re-descargarlos), manejo de contenido (codificación, compresión, tipos MIME), acceso cross-origin (qué otros sitios pueden embeber o consumir tus recursos), y atributos de cookies (flags de seguridad como Secure, HttpOnly, SameSite). Cabeceras mal configuradas pueden crear vulnerabilidades de seguridad, degradar el rendimiento o causar problemas funcionales.
¿Qué cabeceras de seguridad debe tener mi web?
Toda web debería implementar estas cabeceras: Strict-Transport-Security (HSTS) — fuerza conexiones HTTPS. Content-Security-Policy (CSP) — define qué fuentes de contenido están permitidas, previniendo XSS. X-Frame-Options — impide que tu web se incruste en iframes de sitios maliciosos (anti-clickjacking). X-Content-Type-Options: nosniff — evita que el navegador adivine tipos de contenido. Referrer-Policy — controla cuánta información de URL se envía con las peticiones salientes. Permissions-Policy — restringe qué APIs del navegador puede usar tu sitio (cámara, geolocalización, micrófono).
¿Cómo añado cabeceras de seguridad a mi web?
Las cabeceras de seguridad se configuran en tu servidor web o plataforma de hosting. En Nginx, añade cabeceras en tu bloque server con directivas add_header. En Apache, usa la directiva Header en .htaccess o httpd.conf. La mayoría de CDN (Cloudflare, AWS CloudFront, Vercel) ofrecen configuración de cabeceras a través de sus paneles o reglas edge. Las plataformas de hosting gestionado suelen tener ajustes de cabeceras de seguridad en sus paneles de control. Después de añadir cabeceras, usa este inspector para verificar que aparecen correctamente en la respuesta.
¿Qué cabeceras de caché debo usar para mejor rendimiento?
Para activos estáticos (imágenes, CSS, JavaScript con nombres hasheados), configura Cache-Control: public, max-age=31536000, immutable — indica a los navegadores cachear durante 1 año. Para páginas HTML, usa Cache-Control: no-cache o max-age=0, must-revalidate — los navegadores siempre deben comprobar si hay versión nueva. Para respuestas API, usa Cache-Control: private, no-store si los datos son específicos del usuario. Habilita siempre compresión (Content-Encoding: gzip o br) — reduce el tamaño de transferencia un 60-80%.
¿Cómo verifico las cabeceras HTTP de mi sitio web?
Introduce la URL de tu web en el inspector de cabeceras HTTP y haz clic en Verificar. La herramienta envía una petición HTTP a tu servidor y muestra todas las cabeceras de la respuesta, organizadas por categoría con análisis de seguridad. También puedes comprobar cabeceras usando las DevTools del navegador (pestaña Red), pero esta herramienta proporciona una vista más limpia con análisis de seguridad incluido y funciona sin necesidad de visitar el sitio directamente.

Herramientas relacionadas

Verificador SSL

Puntuación de Seguridad

Detector de Tecnologías

Verificador robots.txt

Herramientas Populares

Consulta DNS

Consulta WHOIS

Antigüedad del Dominio

Verificador Nameserver

Endpoint API

POST /api/v1/web/headers
Ver Documentación