Seguridad web

Cómo revisar las cabeceras de seguridad, CSP y HSTS

Un proceso de despliegue para saber qué capa define cada cabecera, probar el comportamiento real del navegador y evitar bloqueos o una falsa sensación de seguridad.

Las cabeceras de seguridad añaden controles en el navegador, pero una cabecera presente puede ser ineficaz, contradictoria o aparecer solo en algunas respuestas. Comprueba la política y la ruta por la que se entrega como un único sistema.

Empieza por la respuesta pública final

Comprueba la aplicación, el proxy inverso, la CDN, las páginas de error, las redirecciones y las páginas autenticadas. Identifica qué capa controla cada cabecera para que un despliegue posterior no la sobrescriba.

Despliega CSP y HSTS con cuidado

Usa primero CSP en modo report-only para recoger infracciones y elimina después las fuentes inseguras de forma deliberada. Activa HSTS solo cuando todos los subdominios necesarios funcionen por HTTPS y comprendas includeSubDomains y preload.

Verifica el comportamiento y no solo la presencia

Prueba la carga dentro de marcos, la detección de tipos MIME, la fuga de referencias, los permisos de funciones, los scripts integrados, los servicios de terceros y los informes de la consola del navegador en páginas representativas.

Lista de revisión de cabeceras de seguridad

  • Inspecciona respuestas finales con distintos códigos de estado
  • Asigna un responsable a cada cabecera
  • Prueba CSP en report-only antes de aplicarla
  • Confirma que todos los hosts HSTS admiten HTTPS
  • Repite las pruebas del navegador tras cada despliegue

Guías relacionadas

Aprenda el workflow detrás de esta herramienta y qué revisar después.

Herramientas relacionadas