ServerRecords

Ayuda y Resolución de problemas

Cabeceras de seguridad

Qué es esto

Un puñado de cabeceras de respuesta HTTP instruyen a los navegadores a habilitar protecciones: HSTS (forzar HTTPS), CSP (restringir la carga de recursos), X-Frame-Options (bloquear el enmarcado), X-Content-Type-Options (bloquear el sniffing de MIME), Referrer-Policy y Permissions-Policy.

Cómo interpretar tu resultado

Cada cabecera se informa como presente o ausente junto con aquello contra lo que protege. Las cabeceras ausentes son oportunidades, no caídas, pero están entre las victorias de seguridad más baratas disponibles.

Problemas comunes y cómo solucionarlos

Faltan la mayoría o todas las cabeceras de seguridad

Cómo se manifiesta: Nada se rompe de forma visible, pero el sitio queda innecesariamente expuesto a clickjacking, confusión de MIME y fuga de referente; los escáneres lo califican mal.

Cómo solucionarlo: Agrégalas a nivel de servidor web o CDN. Puntos de partida seguros para casi cualquier sitio: X-Frame-Options: DENY (o SAMEORIGIN), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, más HSTS.

Agregar una Content-Security-Policy estricta rompió el sitio

Cómo se manifiesta: Los scripts, estilos o imágenes dejan de cargar; la consola se llena de errores de violación de CSP.

Cómo solucionarlo: Despliega la CSP primero en modo solo informe (Content-Security-Policy-Report-Only) y endurécela de forma iterativa según los informes de violaciones, y luego cambia a aplicarla una vez que esté limpia.

Cabeceras establecidas en la aplicación pero eliminadas en producción

Cómo se manifiesta: Las pruebas locales muestran las cabeceras; el sitio en vivo carece de ellas.

Cómo solucionarlo: Una capa de proxy/CDN por delante las está sobrescribiendo o descartando. Establece las cabeceras en la capa más externa que termina la conexión (normalmente el CDN), o configúrala para que deje pasar las cabeceras del origen.

Ejecutar una consulta para este registro