Skip to content

¿Qué cabeceras de respuesta HTTP mejoran la seguridad?

Respuesta breve

Las cabeceras de seguridad clave incluyen Strict-Transport-Security (fuerza HTTPS, bloquea el SSL stripping), Content-Security-Policy (limita las fuentes de scripts, mitiga el XSS), X-Frame-Options o CSP frame-ancestors (bloquea el clickjacking), X-Content-Type-Options: nosniff (detiene el MIME sniffing) y Referrer-Policy (controla la filtración del referente). Cada una aborda una clase de ataque concreta.

Las cabeceras de respuesta de seguridad son controles baratos y de gran impacto: el servidor indica al navegador que aplique un comportamiento más seguro, sin cambios en la lógica de la aplicación. Cada una cierra una brecha concreta.

Las cabeceras que importan

  • Strict-Transport-Security (HSTS). max-age=63072000; includeSubDomains indica al navegador que solo se conecte por HTTPS a este host, aunque el usuario escriba http:// o haga clic en un enlace HTTP. Esto derrota los ataques de hombre en el medio por SSL stripping que degradan la conexión. La lista de precarga del navegador lo integra antes de la primera visita — potente, pero difícil de deshacer, así que acierta con la configuración.
  • Content-Security-Policy. Restringe desde dónde se cargan los scripts y otros recursos; la mitigación de XSS más fuerte basada en cabeceras (tratada en profundidad por separado).
  • X-Frame-Options / CSP frame-ancestors. Controla quién puede incrustar tu página en un <iframe>, derrotando el clickjacking (superponer tu interfaz bajo un señuelo). frame-ancestors es el reemplazo moderno y más flexible.
  • X-Content-Type-Options: nosniff. Impide que el navegador haga MIME sniffing de una respuesta para convertirla en un tipo de contenido diferente. Sin él, un archivo servido como texto podría interpretarse como script ejecutable — convirtiendo una subida inocua en XSS almacenado.
  • Referrer-Policy. Limita cuánto de la URL se envía en la cabecera Referer a otros sitios, evitando la filtración de tokens sensibles o rutas internas.
  • Permissions-Policy. Desactiva funciones potentes del navegador (cámara, geolocalización) que la aplicación no necesita, reduciendo la superficie de ataque.

Qué eliminar

Igual de importante: eliminar las cabeceras de divulgación de información como Server y X-Powered-By, que entregan a los atacantes tu pila y versión exactas.

Por qué las cabeceras son defensa en profundidad

No corrigen el código vulnerable; reducen la explotabilidad y el radio de impacto en todo el sitio de una vez.

Los entrevistadores buscan que nombres varias cabeceras y, sobre todo, el ataque concreto que cada una previene — HSTS/SSL-strip, X-Frame-Options/clickjacking, nosniff/MIME-sniffing — en lugar de solo enumerar nombres.

Posibles preguntas de seguimiento

  • ¿Qué hace la lista de precarga de HSTS y cuál es el riesgo de configurarla mal?
  • ¿Cómo previene un ataque X-Content-Type-Options: nosniff?
  • ¿Por qué se prefiere frame-ancestors en la CSP frente a X-Frame-Options?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.