¿Qué son los encabezados de seguridad HTTP?

Question

Accepted Answer

**Los encabezados de seguridad HTTP** son encabezados de respuesta que instruyen a los navegadores para aplicar protecciones de seguridad — ayudando a defender contra ataques como XSS, clickjacking y degradación de protocolo. Son una capa de defensa fácil y valiosa para aplicaciones web.

## Encabezados de seguridad clave

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Ejemplo

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Por qué es importante (defensa en profundidad)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Por qué es importante

Entender los encabezados de seguridad HTTP es valioso porque proporcionan **una capa de defensa fácil y efectiva para aplicaciones web**, por lo que es un conocimiento de seguridad práctica útil.

Los encabezados de seguridad instruyen a los navegadores para aplicar protecciones contra ataques comunes, y entender los clave es valioso. **Content-Security-Policy (CSP)** es el más poderoso — controlando qué recursos y scripts pueden cargarse y ejecutarse, proporcionando una defensa fuerte contra XSS (incluso mitigándolo cuando el escape de salida se pierde). **Strict-Transport-Security (HSTS)** fuerza HTTPS, previniendo ataques de degradación y SSL-stripping. **X-Frame-Options** (o CSP frame-ancestors) previene **clickjacking** bloqueando que la página se incruste en iframes. **X-Content-Type-Options: nosniff**, Referrer-Policy, y Permissions-Policy añaden protecciones adicionales.

Entender estos encabezados y qué protegen contra es el conocimiento práctico.

Entender **por qué es importante** es el valor clave: son **fáciles de añadir** (configurados en el servidor/proxy) pero proporcionan protección significativa con poco esfuerzo, e implementan **defensa en profundidad** (capas adicionales — por ej. CSP mitigando XSS incluso si un error de codificación lo permite).

Entender la advertencia importante de que **los encabezados no son un sustituto de la codificación segura** (aún debe corregir las causas raíz; CSP necesita configuración cuidadosa) refleja una comprensión equilibrada — los encabezados complementan, no reemplazan, el desarrollo seguro.

Los encabezados de seguridad son una mejora valiosa y de bajo esfuerzo que muchos sitios subutilizan, y las herramientas/analizadores comúnmente los verifican.

Ya que los encabezados de seguridad proporcionan defensa en profundidad fácil y efectiva para aplicaciones web (protegiendo contra XSS, clickjacking, ataques de degradación) con poco esfuerzo, y ya que entender los encabezados clave y su valor es útil para mejorar la seguridad de aplicaciones web, entender los encabezados de seguridad HTTP es un conocimiento de seguridad valioso y relevante prácticamente — una capa de defensa web de bajo esfuerzo y alto valor (especialmente CSP para XSS y X-Frame-Options para clickjacking) que complementa la codificación segura, conocimiento útil para reforzar aplicaciones web.