Analizador de encabezados HTTP

Los encabezados HTTP transportan metadatos sobre solicitudes y respuestas. Esta herramienta analiza mensajes HTTP completos incluyendo la línea de solicitud/estado, encabezados y contenido del cuerpo. Analiza encabezados de seguridad (HSTS, CSP), autenticación (Basic, Bearer), cookies, configuración CORS y directivas de caché. El contenido del cuerpo se formatea y resalta automáticamente según el Content-Type (JSON, HTML, XML).

Especificaciones

• RFC 9110 - HTTP Semantics
• RFC 9111 - HTTP Caching
• MDN HTTP Headers

Casos de uso comunes

• Depurar solicitudes de API copiadas de la pestaña Red de DevTools del navegador
• Analizar salida de curl -i o curl -v con encabezados y cuerpo
• Auditar encabezados de seguridad para cumplimiento (recomendaciones OWASP)
• Solucionar problemas de preflight CORS y origen cruzado
• Inspeccionar encabezados de autenticación y configuración de cookies
• Verificar comportamiento de caché para CDN y caché del navegador

Funcionalidades

• Analizar solicitudes HTTP completas (GET /path HTTP/1.1)
• Analizar respuestas HTTP con códigos de estado y frases de razón
• Formatear y resaltar sintaxis del contenido del cuerpo (JSON, HTML, XML, CSS)
• Decodificar encabezados de autorización (credenciales Basic auth, tokens Bearer)
• Analizar encabezados de seguridad (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
• Analizar atributos de Set-Cookie (Secure, HttpOnly, SameSite, expiración)
• Extracción y listado de cookies desde encabezados
• Mostrar encabezados CORS (Access-Control-Allow-Origin, etc.)
• Explicar directivas de Cache-Control (max-age, no-cache, private)

Ejemplos

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Cache-Control: max-age=3600, public
X-Frame-Options: DENY
Strict-Transport-Security: max-age=31536000; includeSubDomains

{
  "status": "success",
  "data": {
    "id": 12345,
    "name": "Example User"
  }
}

GET /api/users HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Accept: application/json
Cookie: session=abc123; theme=dark

Consejos

• Use "curl -i URL" para incluir los encabezados de respuesta en la salida.
• En DevTools del navegador, haga clic derecho en una solicitud y "Copiar como cURL" para obtener la solicitud completa.
• HSTS (Strict-Transport-Security) indica a los navegadores que solo usen HTTPS para el dominio.
• CSP (Content-Security-Policy) controla qué recursos puede cargar la página.
• El atributo SameSite de cookies ayuda a prevenir ataques CSRF.

Comprender Analizador de encabezados HTTP

Los encabezados HTTP son pares clave-valor enviados entre el cliente y el servidor como parte de cada solicitud y respuesta HTTP. Transportan metadatos sobre el mensaje: tipo de contenido, directivas de caché, credenciales de autenticación y políticas de seguridad. Los encabezados aparecen después de la línea de solicitud o estado y antes del cuerpo opcional, separados del cuerpo por una línea en blanco.

Los encabezados de solicitud proporcionan contexto sobre el cliente y la respuesta deseada. Host identifica el servidor objetivo. Accept y Content-Type negocian el formato de medios. Authorization transporta credenciales (Basic, Bearer, claves de API). Cookie envía datos de sesión almacenados. User-Agent identifica el software del cliente.

Los encabezados de respuesta controlan cómo el cliente maneja el contenido. Cache-Control y ETag gobiernan el comportamiento de caché. Set-Cookie establece estado del lado del cliente. Content-Security-Policy restringe la carga de recursos para mitigar XSS. Strict-Transport-Security fuerza HTTPS. Los encabezados CORS (Access-Control-Allow-Origin y relacionados) controlan el compartir recursos entre orígenes, uno de los aspectos más comúnmente mal configurados de las APIs web.

Comprender los encabezados es esencial para depurar aplicaciones web. Cuando una API devuelve resultados inesperados, los encabezados frecuentemente revelan la causa: un Content-Type faltante, un token de autenticación expirado, una directiva de caché sirviendo datos obsoletos, o una política CORS bloqueando la solicitud.

La directiva Cache-Control es uno de los encabezados más malinterpretados. La directiva no-cache no significa "no almacenar en caché" — significa que la caché debe revalidar con el servidor de origen antes de usar una respuesta almacenada. La respuesta aún puede almacenarse en caché. La directiva no-store es lo que realmente previene el almacenamiento en caché por completo, y debe usarse para datos sensibles. Para contenido que cambia frecuentemente y se beneficia de solicitudes condicionales, no-cache combinado con ETag o Last-Modified es la estrategia apropiada.

Los errores CORS ocurren cuando una solicitud del navegador a un origen diferente carece del encabezado de respuesta Access-Control-Allow-Origin. El servidor debe incluir este encabezado con el origen solicitante o * para APIs públicas. Cuando se involucran credenciales (cookies o encabezados Authorization), el comodín no está permitido — el encabezado debe especificar el origen exacto. Las solicitudes OPTIONS de preflight adicionalmente requieren Access-Control-Allow-Methods y Access-Control-Allow-Headers. La autenticación de token Bearer usa el formato Authorization: Bearer <token>, donde el token es típicamente un JWT o un token de acceso opaco de un flujo OAuth 2.0. A diferencia de las cookies, los tokens Bearer no se envían automáticamente — el cliente debe adjuntar explícitamente el encabezado a cada solicitud.

Cada sitio web debe establecer un conjunto mínimo de encabezados de seguridad. Strict-Transport-Security (HSTS) asegura que siempre se use HTTPS. Content-Security-Policy mitiga XSS restringiendo la carga de recursos. X-Content-Type-Options: nosniff previene la detección de tipo MIME. X-Frame-Options protege contra clickjacking, y Referrer-Policy controla qué información se envía en el encabezado Referer. Las APIs deben adicionalmente configurar encabezados CORS apropiados para controlar qué orígenes pueden hacer solicitudes.