Headers que importan en producción
Los headers son la “configuración viva” de tu web y API. Afectan rendimiento (caché), seguridad (protecciones del navegador), compatibilidad (CORS), y también SEO (canonicals no, pero sí caching, content-type correcto, compresión y políticas). Este analizador te devuelve un informe útil para equipos de backend, DevOps y seguridad.
Qué revisa la herramienta
- Seguridad: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
- Caché: Cache-Control, Expires, ETag/If-None-Match.
- CORS: Access-Control-Allow-Origin, -Methods, -Headers, -Credentials.
- Buenas prácticas: Content-Type, charset, compresión (Content-Encoding), vary.
Examples prácticos con código
# Obtener headers con cURL
curl -I https://tu-dominio.com
// Node.js (Express) - headers de seguridad básicos
import helmet from "helmet";
app.use(helmet());
app.use((req,res,next)=>{
res.setHeader("Strict-Transport-Security","max-age=31536000; includeSubDomains");
next();
});
# Nginx - ejemplo de HSTS y X-Frame-Options
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
FAQ
¿Siempre debo activar HSTS?
En producción con HTTPS estable, sí. En entornos mixtos o con subdominios legacy, planifícalo para evitar bloqueos.
¿Qué es CSP y por qué rompe cosas?
Content-Security-Policy limita orígenes de scripts/iframes. Si tu sitio usa recursos externos, debes declararlos explícitamente.
¿CORS es seguridad del backend?
CORS es una política del navegador; el backend debe configurarlo correctamente para evitar bloqueos o exposición.