/ auditoría · 03
Security
Análisis de las cabeceras HTTP devueltas por un sitio: seguridad, divulgación de información, caché, tecnologías detectadas.
Análisis
// Introduce una URL para recuperar sus cabeceras HTTP.
Verificaciones
- HSTS — max-age, preload, subdominios
- CSP — Content Security Policy, detección unsafe-inline/eval
- X-Frame-Options — protección clickjacking
- X-Content-Type-Options — anti MIME sniffing
- Referrer-Policy — política de Referer
- Permissions-Policy — restricciones API navegador
- COOP / COEP / CORP — aislamiento cross-origin
- Set-Cookie — flags Secure, HttpOnly, SameSite
- disclosure — Server, X-Powered-By, X-AspNet-Version
- deprecated — X-XSS-Protection, HPKP, Expect-CT, Feature-Policy
- TLS — versión, cipher, firma, expiración, cadena
- HTTPS / HSTS preload — redirección HTTP→HTTPS, elegibilidad HSTS preload
- CSP detail — directivas, fuentes inseguras, nonce/hash/strict-dynamic
- Mixed content — recursos HTTP en página HTTPS
- SRI — integrity en scripts/styles cross-origin
- iframes / target=_blank / forms — iframe sandbox, target=_blank, formularios HTTPS
- Endpoints sensibles — /.env, /.git, /server-status, backups
- .well-known — security.txt, change-password
- CORS · OPTIONS — Origin tercero, métodos permitidos
- Recomendaciones — priorizadas por impacto