Cómo revisar las cabeceras de seguridad, CSP y HSTS
Un proceso de despliegue para saber qué capa define cada cabecera, probar el comportamiento real del navegador y evitar bloqueos o una falsa sensación de seguridad.
Las cabeceras de seguridad añaden controles en el navegador, pero una cabecera presente puede ser ineficaz, contradictoria o aparecer solo en algunas respuestas. Comprueba la política y la ruta por la que se entrega como un único sistema.
Empieza por la respuesta pública final
Comprueba la aplicación, el proxy inverso, la CDN, las páginas de error, las redirecciones y las páginas autenticadas. Identifica qué capa controla cada cabecera para que un despliegue posterior no la sobrescriba.
Despliega CSP y HSTS con cuidado
Usa primero CSP en modo report-only para recoger infracciones y elimina después las fuentes inseguras de forma deliberada. Activa HSTS solo cuando todos los subdominios necesarios funcionen por HTTPS y comprendas includeSubDomains y preload.
Verifica el comportamiento y no solo la presencia
Prueba la carga dentro de marcos, la detección de tipos MIME, la fuga de referencias, los permisos de funciones, los scripts integrados, los servicios de terceros y los informes de la consola del navegador en páginas representativas.
Lista de revisión de cabeceras de seguridad
- Inspecciona respuestas finales con distintos códigos de estado
- Asigna un responsable a cada cabecera
- Prueba CSP en report-only antes de aplicarla
- Confirma que todos los hosts HSTS admiten HTTPS
- Repite las pruebas del navegador tras cada despliegue
Guías relacionadas
Aprenda el workflow detrás de esta herramienta y qué revisar después.
Lista de validación para lanzar un dominio
Una revisión por capas del lanzamiento que detecta errores de DNS, certificados, enrutamiento, correo y SEO antes de que los encuentren los usuarios.
Checks de SEO técnico antes de enviar un sitio
Un checklist para asegurar que los buscadores puedan descubrir, rastrear, entender e indexar las páginas importantes.