KitMul MarkKitMul Text

Generar Encabezados de Seguridad

Configura y genera encabezados de seguridad HTTP con una puntuacion de seguridad. Exporta para Nginx, Apache y Express.js.

Configura encabezados de seguridad HTTP visualmente con un editor interactivo. Activa o desactiva encabezados como HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COEP, COOP y CORP. Consulta tu puntuacion de seguridad en tiempo real y exporta como encabezados sin formato o configuraciones de servidor para Nginx, Apache o Express.js. Todo el procesamiento ocurre en tu navegador.

Loading...
Tus datos no salen de tu navegador
¿Te ha sido útil esta herramienta?
Tutorial

Como Generar Encabezados de Seguridad

1
1

Activar Encabezados de Seguridad

Activa o desactiva encabezados individuales como HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy.

2
2

Revisar tu Puntuacion de Seguridad

Observa como la puntuacion de seguridad se actualiza en tiempo real al activar o desactivar encabezados. Apunta a la puntuacion mas alta posible.

3
3

Exportar la Configuracion

Copia los encabezados generados como encabezados HTTP sin formato o cambia de pestana para obtener fragmentos para Nginx, Apache o Express.js.

Guide

Guia Completa de Encabezados de Seguridad HTTP

Por Que Importan los Encabezados de Seguridad

Los encabezados de seguridad HTTP son tu primera linea de defensa en la capa de transporte. Instruyen a los navegadores para aplicar politicas de seguridad antes de que se renderice cualquier contenido de pagina. Sin los encabezados adecuados, tu sitio es vulnerable a clickjacking, ataques de MIME sniffing, ataques de degradacion de protocolo y filtraciones de datos cross-origin. Agregar los encabezados correctos toma minutos pero bloquea clases enteras de ataques automaticamente.

Encabezados de Seguridad Esenciales Explicados

Strict-Transport-Security (HSTS) fuerza conexiones HTTPS. X-Frame-Options previene la incrustacion en iframes. X-Content-Type-Options detiene el MIME sniffing. Referrer-Policy controla cuanta informacion de URL se comparte con otros sitios. Permissions-Policy restringe el acceso a funciones del navegador como camara, microfono y geolocalizacion. Juntos, estos encabezados crean una base de seguridad robusta para cualquier aplicacion web.

Encabezados Cross-Origin: COEP, COOP y CORP

Cross-Origin-Embedder-Policy (COEP) requiere que los recursos otorguen permiso explicito para ser cargados. Cross-Origin-Opener-Policy (COOP) aisla tu contexto de navegacion de popups cross-origin. Cross-Origin-Resource-Policy (CORP) controla que origenes pueden incrustar tus recursos. Estos tres encabezados trabajan juntos para habilitar funciones poderosas como SharedArrayBuffer mientras previenen ataques de canal lateral clase Spectre.

Desplegar Encabezados de Seguridad en Produccion

Comienza habilitando encabezados en modo solo-reporte cuando sea posible y monitorea por problemas. Agrega encabezados de forma incremental, comenzando con X-Content-Type-Options y X-Frame-Options que raramente causan problemas. Luego agrega HSTS con un max-age corto antes de aumentarlo. Prueba exhaustivamente con herramientas de desarrollo del navegador y escaneadores en linea. Revisa los encabezados despues de cada despliegue para detectar regresiones.

Sources

Examples

Ejemplos de Configuracion de Encabezados de Seguridad

Sitio Web Basico Seguro

Un sitio web estatico que necesita encabezados de seguridad fundamentales para proteccion contra ataques comunes.

1

Activar Strict-Transport-Security con max-age=31536000 e includeSubDomains

2

Activar X-Frame-Options configurado a DENY

3

Activar X-Content-Type-Options con nosniff

4

Activar Referrer-Policy configurado a strict-origin-when-cross-origin

Strict-Transport-Security: max-age=31536000; includeSubDomains X-Frame-Options: DENY X-Content-Type-Options: nosniff Referrer-Policy: strict-origin-when-cross-origin

Aplicacion con Aislamiento Cross-Origin

Una aplicacion web que necesita soporte SharedArrayBuffer y aislamiento cross-origin completo.

1

Activar todos los encabezados basicos de seguridad (HSTS, X-Frame-Options, X-Content-Type-Options)

2

Activar Cross-Origin-Embedder-Policy configurado a require-corp

3

Activar Cross-Origin-Opener-Policy configurado a same-origin

4

Activar Cross-Origin-Resource-Policy configurado a same-origin

5

Activar Permissions-Policy para restringir camara, microfono y geolocalizacion

Strict-Transport-Security: max-age=31536000; includeSubDomains X-Frame-Options: DENY X-Content-Type-Options: nosniff Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin Cross-Origin-Resource-Policy: same-origin Permissions-Policy: camera=(), microphone=(), geolocation=()

Casos de uso

Casos de Uso de Encabezados de Seguridad

Forzar HTTPS con HSTS

Activa Strict-Transport-Security con un max-age largo e includeSubDomains para forzar todas las conexiones por HTTPS. Esto previene ataques de degradacion y secuestro de cookies al asegurar que los navegadores nunca se comuniquen con tu servidor por HTTP sin cifrar.

Prevenir Ataques de Clickjacking

Configura X-Frame-Options a DENY o SAMEORIGIN para impedir que atacantes incrusten tu sitio en iframes en paginas maliciosas. Esto protege a los usuarios de hacer clic involuntariamente en botones o enlaces ocultos superpuestos sobre tu contenido.

Bloquear MIME Sniffing

Activa X-Content-Type-Options con nosniff para evitar que los navegadores adivinen tipos de contenido. Esto impide que atacantes enganen a los navegadores para ejecutar archivos subidos como scripts, cerrando un vector de ataque comun para XSS almacenado.

Preguntas Frecuentes

?Que son los encabezados de seguridad HTTP?

Son encabezados de respuesta HTTP que instruyen a los navegadores para habilitar funciones de seguridad como la aplicacion de HTTPS, proteccion contra clickjacking y restricciones de tipo MIME.

?Que hace HSTS?

Strict-Transport-Security indica a los navegadores que solo se conecten por HTTPS. Una vez configurado, el navegador rechaza conexiones HTTP planas durante el max-age especificado.

?Para que se usa X-Frame-Options?

Evita que tu sitio sea incrustado en iframes en otros dominios, protegiendo a los usuarios de ataques de clickjacking que superponen contenido invisible.

?Que mide la puntuacion de seguridad?

La puntuacion califica tu configuracion de encabezados segun cuantos encabezados de seguridad recomendados estan activados y correctamente configurados para produccion.

?Puedo usar estos encabezados con cualquier servidor web?

Si. La herramienta exporta configuraciones para Nginx, Apache y Express.js. Tambien puedes copiar los encabezados sin formato para cualquier servidor o CDN.

?Mis datos son privados?

Si. Todo se ejecuta localmente en tu navegador. No se envia ningun dato a ningun servidor. Tu configuracion de encabezados nunca sale de tu maquina.

?Es gratis esta herramienta?

Si. Completamente gratis sin limites, sin registro requerido. Genera tantas configuraciones como necesites sin ninguna restriccion.

Ayúdanos a mejorar

¿Qué te parece esta herramienta?

Cada herramienta de Kitmul se construye a partir de peticiones reales de usuarios. Tu valoración y tus sugerencias nos ayudan a arreglar bugs, añadir funciones que faltan y construir las herramientas que realmente necesitas.

Valora esta herramienta

Pulsa una estrella para contarnos lo útil que te ha resultado.

Sugiere una mejora o reporta un bug

¿Te falta alguna función? ¿Has encontrado un fallo? ¿Tienes una idea? Cuéntanoslo y lo revisaremos.

Herramientas relacionadas

Configurar Encabezados CORS

Genera configuraciones de Cross-Origin Resource Sharing para Express.js, Nginx, Apache, Fetch API, Spring Boot, Django y Laravel.

Probar herramienta

Generar Claves RSA

Genera pares de claves RSA publicas y privadas en formato PEM.

Probar herramienta

Construir Content Security Policy

Genera encabezados CSP interactivamente con todas las directivas, presets y salida para HTTP, meta tags, Nginx, Apache y Express.

Probar herramienta
Lectura Recomendada

Libros Recomendados sobre Seguridad Web y Encabezados HTTP

Web Application Hacker's Handbook

Web Application Hacker's Handbook

Dafydd Stuttard

The Code Book

The Code Book

Simon Singh

Crypto: How the Code Rebels Beat the Government

Crypto: How the Code Rebels Beat the Government

Steven Levy

Como asociado de Amazon, ganamos con las compras que califican.

Potencia tus Capacidades

Herramientas de Seguridad para Desarrolladores Web

YubiKey 5 NFC — Llave de Seguridad de Hardware para MFA

YubiKey 5 NFC — Llave de Seguridad de Hardware para MFA

Yubico

Apricorn Aegis Secure Key — Unidad USB Cifrada AES de 256 bits

Apricorn Aegis Secure Key — Unidad USB Cifrada AES de 256 bits

Apricorn

Kingston IronKey Vault — Unidad Flash Cifrada Certificada FIPS 197

Kingston IronKey Vault — Unidad Flash Cifrada Certificada FIPS 197

Kingston

Como asociado de Amazon, ganamos con las compras que califican.

Boletín

Recibe Consejos de Productividad y Nuevas Herramientas Primero

Únete a creadores y desarrolladores que valoran la privacidad. En cada edición: nuevas herramientas, trucos de productividad y novedades — sin spam.

Acceso prioritario a nuevas herramientas
Cancela en cualquier momento, sin preguntas