Playbook · Seguridad web

Cabeceras de seguridad web

Tu navegador puede proteger mejor a tus visitantes si tu web envía las cabeceras correctas. Guía orientativa — no sustituye a una revisión técnica.

Qué son las cabeceras HTTP de seguridad

Son instrucciones que el servidor envía al navegador junto con cada respuesta. Le dicen cómo comportarse: si debe usar siempre HTTPS, si puede cargar scripts de otros dominios, si permite incrustar la web en un iframe, etc.

No protegen el servidor directamente, sino al visitante frente a ciertos ataques que el navegador puede bloquear si recibe las instrucciones correctas.

Las cinco más importantes

Strict-Transport-Security (HSTS)

Obliga al navegador a usar siempre HTTPS. Evita ataques de downgrade.

Strict-Transport-Security: max-age=31536000; includeSubDomains

X-Frame-Options

Evita que tu web se incruste en iframes de terceros (clickjacking).

X-Frame-Options: DENY

X-Content-Type-Options

Impide que el navegador adivine el tipo de contenido y ejecute algo inesperado.

X-Content-Type-Options: nosniff

Referrer-Policy

Controla qué información de origen se envía al navegar a otras webs.

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy

Restringe qué APIs del navegador puede usar tu web (cámara, micrófono, geolocalización).

Permissions-Policy: camera=(), microphone=(), geolocation=()

Cómo añadirlas según tu plataforma

Apache: Fichero .htaccess con directivas Header set.
Nginx: Bloque server{} con directivas add_header.
WordPress: Plugins como Headers & Cookies o Wordfence las añaden automáticamente.
Vercel / Netlify / Cloudflare: Sección de headers en el panel o en el fichero de configuración del proyecto.

¿Quieres que lo configuremos por ti?

El pack TrustFix Headers cubre HSTS, frame-ancestors, Referrer-Policy, X-Content-Type-Options y Permissions-Policy con revisión manual.

Solicitar TrustFix Headers — desde 79 €Analizar mi dominio →