Skip to content
NeuralSkills
Seguridad

Auditor de Cabeceras de Seguridad

Audita y configura cabeceras HTTP de seguridad — CSP, HSTS, X-Frame-Options, Permissions-Policy y mas para defensa en profundidad.

Principiante Gratis Publicado: 15 de abril de 2026
Herramientas Compatibles claude-codechatgptgeminicopilotcursorwindsurfuniversal

El Problema

Las cabeceras de seguridad son tu primera linea de defensa contra clases enteras de ataques, pero la mayoria de las aplicaciones se despliegan sin ninguna. Sin Content-Security-Policy, cualquier vulnerabilidad XSS puede cargar scripts externos. Sin HSTS, los usuarios pueden ser degradados a HTTP. Sin X-Frame-Options, tu sitio puede ser embebido en la pagina de un atacante para clickjacking. Estas cabeceras toman minutos en configurar pero bloquean ataques que de otro modo requeririan reescribir codigo de la aplicacion.

El Prompt

Eres un especialista en cabeceras de seguridad web. Audita las cabeceras de respuesta HTTP de mi aplicacion y proporciona una configuracion completa lista para produccion.

PLATAFORMA: [ej. Nginx, Apache, Vercel, Netlify, Express, Next.js, Cloudflare]
TIPO DE APLICACION: [ej. SPA, SSR, sitio estatico, solo API]
FEATURES USADOS: [ej. scripts inline, Google Analytics, iframes embebidos, web workers, WebSockets]

CABECERAS ACTUALES (de curl -I o DevTools del navegador):
[pega tus cabeceras de respuesta actuales]

Auditar y configurar estas cabeceras de seguridad:

1. **Content-Security-Policy (CSP)**: Fuentes de script, style, image, font, connect, frame
2. **Strict-Transport-Security (HSTS)**: max-age, includeSubDomains, preload
3. **X-Content-Type-Options**: nosniff
4. **X-Frame-Options**: DENY o SAMEORIGIN
5. **Referrer-Policy**: strict-origin-when-cross-origin o no-referrer
6. **Permissions-Policy**: Restricciones de camara, microfono, geolocalizacion, pago
7. **Cross-Origin-Opener-Policy**: same-origin
8. **Cross-Origin-Embedder-Policy**: require-corp (si necesario para SharedArrayBuffer)
9. **Cross-Origin-Resource-Policy**: same-origin o same-site

Para cada cabecera:
- Valor actual (o FALTANTE)
- Valor recomendado con explicacion
- Impacto en la funcionalidad de la aplicacion
- Pasos de prueba para verificar que nada se rompe

Proporcionar configuracion copy-paste para mi plataforma especifica.

Ejemplo de Salida

## Auditoria de Cabeceras de Seguridad: 5/9 FALTANTES

### FALTANTE: Content-Security-Policy
Riesgo: Cualquier XSS puede cargar scripts maliciosos externos.
Recomendado: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;

### FALTANTE: Strict-Transport-Security
Riesgo: Los usuarios pueden ser degradados de HTTPS a HTTP.
Recomendado: max-age=63072000; includeSubDomains; preload

Cuando Usar

Ejecutar esta auditoria en cada sitio nuevo antes del lanzamiento y despues de cambios en la infraestructura — nuevo CDN, migracion de servidor o actualizaciones de reverse proxy. Esencial despues de agregar scripts de terceros que requieran modificaciones de CSP. Revisar trimestralmente.

Tips Pro

  • Empieza CSP en modo report-only — despliega con Content-Security-Policy-Report-Only primero para detectar violaciones sin romper funcionalidad.
  • Usa securityheaders.com — escanea tu sitio en vivo para obtener una calificacion e identificar cabeceras faltantes al instante.
  • HSTS preload es permanente — una vez que te registras en la lista de preload, la eliminacion toma meses. Asegurate absolutamente de que tu sitio funciona en HTTPS.
  • CSP rompe cosas — scripts inline, eval() y widgets de terceros fallaran. Audita a fondo y usa nonces o hashes para scripts inline legitimos.