Por qué importan los headers
Los headers de seguridad indican al navegador cómo debe tratar tus páginas. Pueden evitar confusión de tipos MIME, reducir el clickjacking y fijar políticas más estrictas sobre scripts y embebidos.
Son especialmente útiles porque es fácil que se rompan después de cambios en servidor, CDN o proxy.
Headers básicos que conviene revisar
Cada stack necesita matices, pero hay varios headers que casi siempre merece la pena revisar primero.
- Strict-Transport-Security
- Content-Security-Policy
- X-Content-Type-Options
- X-Frame-Options
- Referrer-Policy
- Permissions-Policy
Errores más habituales
Algunos equipos nunca los añaden. Otros los añaden una vez y no los vuelven a validar. Otro fallo común es que el header exista, pero con una configuración tan débil que apenas aporte valor.
- Falta CSP o es demasiado permisiva
- No hay HSTS en una web HTTPS
- Los headers existen en un entorno pero no en otro
- Los headers desaparecen tras cambios de infraestructura
Cómo plantear la implementación
Empieza por wins seguros como X-Content-Type-Options y Referrer-Policy. Después introduce políticas más exigentes como CSP con pruebas y reporting.
Documenta el baseline esperado para comprobarlo después en cada despliegue.
- HSTS revisado para entornos seguros
- Existe CSP y no es excesivamente permisiva
- X-Content-Type-Options está en nosniff
- X-Frame-Options o reglas equivalentes están presentes
- Referrer-Policy está definida con intención
- Los headers se validan tras cambios de infraestructura