🧭 Guía de Headers de Seguridad HTTP

Aprende a configurar headers críticos para proteger tu sitio web. Incluye ejemplos para Apache, Nginx y Netlify.

🔍 Verifica los headers de tu sitio (manual)

Copia este comando en tu terminal para ver los headers de cualquier sitio:

curl -I https://tudominio.com

💡 Tip: En Windows usa PowerShell o Git Bash. En Mac/Linux usa Terminal.

Fuerza al navegador a usar HTTPS, previniendo ataques de downgrade y MITM.

# netlify.toml [[headers]] for = "/*" [headers.values] Strict-Transport-Security = "max-age=31536000; includeSubDomains; preload"

# nginx.conf add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

# .htaccess o apache.conf Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Previene que tu sitio sea embebido en iframes, protegiendo contra clickjacking.

[[headers]] for = "/*" [headers.values] X-Frame-Options = "DENY"

add_header X-Frame-Options "DENY" always;

Header always set X-Frame-Options "DENY"

Previene MIME sniffing, evitando que el navegador ejecute archivos maliciosos.

[[headers]] for = "/*" [headers.values] X-Content-Type-Options = "nosniff"

add_header X-Content-Type-Options "nosniff" always;

Header always set X-Content-Type-Options "nosniff"

Controla qué recursos puede cargar el navegador, previniendo XSS. Implementa gradualmente para no romper tu sitio.

# Versión inicial segura (ajusta según necesites) [[headers]] for = "/*" [headers.values] Content-Security-Policy = "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';"

add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';" always;

Header always set Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';"

Controla qué información del referer se envía al navegar a otros sitios.

[[headers]] for = "/*" [headers.values] Referrer-Policy = "strict-origin-when-cross-origin"

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Header always set Referrer-Policy "strict-origin-when-cross-origin"

Controla qué features del navegador (cámara, micrófono, geolocalización) puede usar tu sitio.

# Si no usas estas features, deshabilítalas por seguridad [[headers]] for = "/*" [headers.values] Permissions-Policy = "geolocation=(), microphone=(), camera=(), payment=()"

add_header Permissions-Policy "geolocation=(), microphone=(), camera=(), payment=()" always;

Header always set Permissions-Policy "geolocation=(), microphone=(), camera=(), payment=()"

✅ Checklist de implementación

Mi sitio usa HTTPS válido (no HTTP)

Configuré Strict-Transport-Security con max-age ≥ 1 año

Agregué X-Frame-Options: DENY o SAMEORIGIN

Incluí X-Content-Type-Options: nosniff

Implementé una Content-Security-Policy básica

Probé los cambios en un entorno de staging antes de producción

🔗 Herramientas externas para análisis automático

securityheaders.com — Escaneo rápido con calificación A-F
Mozilla Observatory — Auditoría profunda con recomendaciones
CSP Evaluator — Valida tu Content-Security-Policy

🔒 Nota: Esta guía es educativa. Para análisis automático de tu sitio, usa las herramientas externas arriba o contáctanos para una auditoría profesional.

🧭 Guía de Headers de Seguridad HTTP

🔍 Verifica los headers de tu sitio (manual)

✅ Checklist de implementación

🔗 Herramientas externas para análisis automático

🛡️ ¿Necesitas ayuda para configurar estos headers?