Preskoči na sadržaj
(+381) 60 3535 720
Moj nalog
BeoHosting
BeoHosting
Moj nalogKontakt
(+381) 60 3535 720
 

Herramienta de diagnóstico gratuita

Verificador de cabeceras HTTP — Consulta de cabeceras HTTP

Comprueba las cabeceras HTTP de cualquier URL: cabeceras de seguridad (HSTS, CSP, X-Frame), Cache-Control, Content-Type, Server y código de estado. Ideal para auditorías de seguridad y rendimiento.

Comprobar cabecerasCertificados SSL
TL;DR

¿Cómo comprobar las cabeceras HTTP de un sitio?

El Verificador de cabeceras HTTP comprueba las cabeceras en 3 pasos: 1) Introduce una URL (con o sin https://). 2) Al pulsar Comprobar, la herramienta envía una solicitud HEAD y analiza las cabeceras de respuesta. 3) Los resultados se clasifican: Bien (cabeceras de seguridad presentes), Advertencia (Server revela la versión, Cache no-cache), Mal (faltan cabeceras críticas), Info (otras). Ideal para: auditoría de seguridad (CSP, HSTS, X-Frame), comprobar la estrategia de caché, depurar problemas de CORS y análisis competitivo.

  • Clasificación de cabeceras: Bien / Advertencia / Mal / Info
  • Detección de cabeceras de seguridad ausentes (HSTS, CSP, X-Frame)
  • Código de estado + tipo de Server (Apache/nginx/LiteSpeed)
  • Ideal para auditorías de seguridad y rendimiento del sitio

BeoHosting Team

10+ godina iskustva — Stručnjaci za web hosting i infrastrukturu

Poslednje ažurirano:

HTTP Header Checker

Unesite URL i proverite HTTP zaglavlja, security headers i status code.

Las 6 cabeceras HTTP más importantes

Cache-Control

Rendimiento

Define cómo el navegador almacena en caché los recursos. public, max-age=31536000 significa 1 año de caché para archivos estáticos (imágenes, CSS, JS con hash en el nombre).

Cache-Control: public, max-age=31536000

Content-Type

Básico

Define el tipo de contenido y el charset. text/html; charset=utf-8 para HTML, application/json para respuestas de API. Sin un Content-Type adecuado, el navegador puede interpretar mal el contenido.

Content-Type: text/html; charset=utf-8

X-Frame-Options

Seguridad

Previene ataques de clickjacking. SAMEORIGIN permite la incrustación solo desde el mismo dominio, DENY bloquea por completo la incrustación con <iframe>. Obligatorio para todas las páginas de admin/login.

X-Frame-Options: SAMEORIGIN

Strict-Transport-Security (HSTS)

Seguridad

Fuerza la conexión HTTPS. max-age=31536000; includeSubDomains exige HTTPS durante un año. Sin HSTS, el navegador puede recurrir a HTTP en la primera visita.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Content-Security-Policy (CSP)

Seguridad

La protección XSS más potente. default-src 'self' permite scripts/estilos/imágenes solo desde el mismo dominio. Previene ataques de inyección y la carga de recursos no autorizados.

Content-Security-Policy: default-src 'self'

Server

Info

Revela la versión del servidor web. «LiteSpeed» está bien, pero «Apache/2.4.41 (Ubuntu)» revela exploits específicos al atacante. Configura ServerSignature Off.

Server: LiteSpeed

Cabeceras HTTP: seguridad y rendimiento

Las cabeceras HTTP son metadatos que el servidor envía al navegador en cada respuesta HTTP. Definen todo, desde la estrategia de caché hasta las políticas de seguridad. Unas cabeceras configuradas correctamente protegen frente a ataques XSS, clickjacking y confusión MIME, y aceleran el sitio un 50-80 % gracias a la caché del navegador.

Las cabeceras se configuran a nivel del servidor web (Apache .htaccess, configuración de nginx, LiteSpeed) o en la aplicación (función header() de PHP, middleware de Express, configuración de headers de Next.js). Las cabeceras de seguridad más importantes: HSTS (fuerza HTTPS), CSP (previene XSS), X-Frame-Options (anti-clickjacking), X-Content-Type-Options (nosniff).

Los planes de hosting de BeoHosting tienen Apache + LiteSpeed con cabeceras predeterminadas configuradas de forma óptima (HSTS, HTTP/2, GZIP/Brotli). Si usas un proxy de Cloudflare delante del hosting de BeoHosting, aparecerán cabeceras adicionales (CF-Ray, CF-Cache-Status).

Herramientas y servicios relacionados

WHOIS LookupDNS CheckerProveri brzinu sajtaSSL SertifikatiBezbednost sajtaKako ubrzati sajtSEO za početnikeShared hostingVPS hostingKontakt

Spremni da pokrenete svoj sajt?

SSL zaštita
Brzina
24/7 podrška

Pridružite se 4.000+ zadovoljnih korisnika. Besplatna migracija i 15 dana garancije povrata novca.

Izaberite paketKontaktirajte nas
15 dana garancija povrata novca
Besplatna migracija15 dana garancija24/7 podrška

Preguntas frecuentes - Verificador de cabeceras HTTP

Odgovori na najčešća pitanja o našim uslugama.

Las cabeceras de seguridad son cabeceras HTTP que protegen un sitio frente a ataques web habituales: HSTS (fuerza HTTPS, previene el SSL stripping), CSP (previene XSS), X-Frame-Options (anti-clickjacking), X-Content-Type-Options (confusión MIME nosniff), Referrer-Policy (control de la cabecera Referer), Permissions-Policy (permisos de Cámara/Micro/Geo). Sin ellas, el sitio es vulnerable a ataques populares.

Lo más fácil es mediante el archivo .htaccess. Añade a public_html/.htaccess: Header set X-Frame-Options „SAMEORIGIN“, Header set X-Content-Type-Options „nosniff“, Header set Strict-Transport-Security „max-age=31536000; includeSubDomains“. Para CSP, usa nuestra herramienta Generador de .htaccess. Las cabeceras se aplican al instante, sin necesidad de reiniciar.

HSTS Preload es una lista que mantiene Chromium (Chrome) en la que se pueden añadir sitios estrictamente solo HTTPS (con HSTS de al menos 1 año + includeSubDomains + directiva preload). Si tu dominio está en la lista de preload, Chrome y Firefox nunca intentarán una conexión HTTP: directamente HTTPS. Formulario de envío: hstspreload.org.

En Apache, en httpd.conf o .htaccess: ServerSignature Off + ServerTokens Prod. En LiteSpeed (BeoHosting), Server: LiteSpeed va por defecto sin versión, es seguro. Para una ocultación completa: usa mod_security o un proxy inverso (Cloudflare/nginx) delante del backend de BeoHosting que elimine la cabecera Server en la respuesta.

No. La URL que compruebas solo pasa por nuestra API hacia el servidor de destino para la solicitud HEAD. No almacenamos las URL en una base de datos, no registramos las direcciones IP de los usuarios ni rastreamos la actividad. Todo es 100 % privado y también funciona con URL internas/de staging si son accesibles públicamente.

Naše garancije za vaš mir

Zaštićeni ste sa svake strane

15 dana garancije

Vraćamo novac bez pitanja u prvih 15 dana.

Besplatna migracija

Mi prebacimo vaš sajt bez prekida — vi ništa ne radite.

24/7 podrška

Naši stručnjaci su tu 24/7 kroz tikete i live chat.