# 'humble' (Analizador de cabeceras HTTP)
# https://github.com/rfc-st/humble/
#
# Licencia MIT
#
# Copyright (c) 2020-2025 Rafa 'Bluesman' Faura (rafael.fcucalon@gmail.com)
#
# Por la presente se concede permiso, libre de cargos, a cualquier persona que
# obtenga una copia de este software y de los archivos de documentación
# asociados (el "Software"), a utilizar el Software sin restricción,
# incluyendo sin limitación los derechos a usar, copiar, modificar, fusionar,
# publicar, distribuir, sublicenciar, y/o vender copias del Software, y a
# permitir a las personas a las que se les proporcione el Software a hacer lo
# mismo, sujeto a las siguientes condiciones:

# El aviso de copyright anterior y este aviso de permiso se incluirán en todas
# las copias o partes sustanciales del Software.

# EL SOFTWARE SE PROPORCIONA "COMO ESTÁ", SIN GARANTÍA DE NINGÚN TIPO, EXPRESA O
# IMPLÍCITA, INCLUYENDO PERO NO LIMITADO A GARANTÍAS DE COMERCIALIZACIÓN,
# IDONEIDAD PARA UN PROPÓSITO PARTICULAR E INCUMPLIMIENTO. EN NINGÚN CASO LOS
# AUTORES O PROPIETARIOS DE LOS DERECHOS DE AUTOR SERÁN RESPONSABLES DE NINGUNA
# RECLAMACIÓN, DAÑOS U OTRAS RESPONSABILIDADES, YA SEA EN UNA ACCIÓN DE CONTRATO,
# AGRAVIO O CUALQUIER OTRO MOTIVO, DERIVADAS DE, FUERA DE O EN CONEXIÓN CON EL
# SOFTWARE O SU USO U OTRO TIPO DE ACCIONES EN EL SOFTWARE.

[http_400]
 Nota : La URL devuelve un error (Código HTTP 400, 'Bad Request')

[http_401]
 Nota : La URL devuelve un error (Código HTTP 401, 'Unauthorized')

[http_402]
 Nota : La URL devuelve un error (Código HTTP 402, 'Payment Required')

[http_403]
 Nota : La URL devuelve un error (Código HTTP 403, 'Forbidden')

[http_404]
 Nota : La URL devuelve un error (Código HTTP 404, 'Not Found')

[http_405]
 Nota : La URL devuelve un error (Código HTTP 405, 'Method Not Allowed')

[http_406]
 Nota : La URL devuelve un error (Código HTTP 406, 'Not Acceptable')

[http_407]
 Nota : La URL devuelve un error (Código HTTP 407, 'Proxy Authentication Required')

[http_409]
 Nota : La URL devuelve un error (Código HTTP 409, 'Conflict')

[http_410]
 Nota : La URL devuelve un error (Código HTTP 410, 'Gone')

[http_411]
 Nota : La URL devuelve un error (Código HTTP 411, 'Length Required')

[http_412]
 Nota : La URL devuelve un error (Código HTTP 412, 'Precondition Failed')

[http_413]
 Nota : La URL devuelve un error (Código HTTP 413, 'Payload Too Large')

[http_414]
 Nota : La URL devuelve un error (Código HTTP 414, 'URI Too Long')

[http_415]
 Nota : La URL devuelve un error (Código HTTP 415, 'Unsupported Media Type')

[http_416]
 Nota : La URL devuelve un error (Código HTTP 416, 'Range Not Satisfiable')

[http_417]
 Nota : La URL devuelve un error (Código HTTP 417, 'Expectation Failed')

[http_421]
 Nota : La URL devuelve un error (Código HTTP 421, 'Misdirected Request')

[http_422]
 Nota : La URL devuelve un error (Código HTTP 422, 'Unprocessable Entity')

[http_423]
 Nota : La URL devuelve un error (Código HTTP 423, 'Locked')

[http_424]
 Nota : La URL devuelve un error (Código HTTP 424, 'Failed Dependency')

[http_425]
 Nota : La URL devuelve un error (Código HTTP 425, 'Too Early')

[http_426]
 Nota : La URL devuelve un error (Código HTTP 426, 'Upgrade Required')

[http_428]
 Nota : La URL devuelve un error (Código HTTP 428, 'Precondition Required')

[http_429]
 Nota : La URL devuelve un error (Código HTTP 429, 'Too Many Requests')

[http_431]
 Nota : La URL devuelve un error (Código HTTP 431, 'Request Header Fields Too Large')

[http_451]
 Nota : La URL devuelve un error (Código HTTP 451, 'Unavailable For Legal Reasons')

[server_500]
 Error en servidor (Código HTTP 500, 'Internal Server Error')

[server_501]
 Error en servidor (Código HTTP 501, 'Not Implemented')

[server_502]
 Error en servidor (Código HTTP 502, 'Bad Gateway')

[server_503]
 Error en servidor (Código HTTP 503, 'Service Unavailable')

[server_504]
 Error en servidor (Código HTTP 504, 'Gateway Timeout')

[server_505]
 Error en servidor (Código HTTP 505, 'HTTP Version Not Supported')

[server_506]
 Error en servidor (Código HTTP 506, 'Variant Also Negotiates')

[server_507]
 Error en servidor (Código HTTP 507, 'Insufficient Storage')

[server_508]
 Error en servidor (Código HTTP 508, 'Loop Detected')

[server_510]
 Error en servidor (Código HTTP 510, 'Not Extended')

[server_511]
 Error en servidor (Código HTTP 511, 'Network Authentication Required')

[server_520]
 Error del servidor asociado generalmente con un CDN (código HTTP 520, 'Unknown error')

[server_521]
 Error del servidor asociado generalmente con un CDN (código HTTP 521, 'Web server is down')

[server_522]
 Error del servidor asociado generalmente con un CDN (código HTTP 522, 'Connection timed out')

[server_523]
 Error del servidor asociado generalmente con un CDN (código HTTP 523, 'Origin is unreachable')

[server_524]
 Error del servidor asociado generalmente con un CDN (código HTTP 524, 'A timeout occurred')

[server_525]
 Error del servidor asociado generalmente con un CDN (código HTTP 525, 'SSL handshake failed')

[server_526]
 Error del servidor asociado generalmente con un CDN (código HTTP 526, 'Invalid SSL certificate')

[server_527]
 Error del servidor asociado generalmente con un CDN (código HTTP 527, 'Railgun error')

[server_530]
 Error del servidor asociado generalmente con un CDN (código HTTP 530, 'Review accompanying 1XXX error')

[server_5xx]
 Error del servidor

[ixuacom_h]
 X-UA-Compatible (Cabecera obsoleta)

[ixuacom]
 A menos que necesite compatibilidad con versiones muy antiguas de Internet Explorer 
 (ej. de la 6 a la 8), elimine esta cabecera y declare correctamente el doctype.
 Ref: https://getoutofmyhead.dev/x-ua-compatible/

[ixcspr_h]
 X-Content-Security-Policy-Report-Only (Cabecera obsoleta)

[ixwcspr_h]
 X-Webkit-CSP-Report-Only (Cabecera obsoleta)

[ixcspr]
 Esta cabecera está obsoleta; utilice la cabecera "Content-Security-Policy-Report-Only".
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy-Report-Only

[ionloc_h]
 Onion-Location (Cabecera potencialmente insegura)

[ionloc]
 Configura correctamente los dominios .onion y revisa sus limitaciones.
 Ref: https://community.torproject.org/onion-services/advanced/onion-location/
 Ref: https://forum.torproject.net/t/eventual-support-for-https-dns-records/4799

[ip3p_h]
 P3P (Cabecera obsoleta)

[ip3p]
 Esta cabecera está obsoleta. Utiliza en su lugar cookies, consentimientos y normativas (ej. GDPR).
 Ref: https://webhint.io/docs/user-guide/hints/hint-no-p3p/

[ixrobv_h]
 X-Robots-Tag (Sin directivas adecuadas)

[ixrobv]
 Incluya, al menos, una directiva correcta.
 Ref: https://developers.google.com/search/docs/crawling-indexing/robots-meta-tag
 Ref: https://www.bing.com/webmasters/help/which-robots-metatags-does-bing-support-5198d240

[ixpermcross_h]
 X-Permitted-Cross-Domain-Policies (Sin directivas adecuadas)

[ixpermcross]
 Incluya, al menos, una directiva correcta.
 Ref: https://getbutterfly.com/security-headers-a-concise-guide/
 Ref: https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/xdomain.html

[ixpermcrossd_h]
 X-Permitted-Cross-Domain-Policies (Valores duplicados)

[ixpermcrossd]
 Esta cabecera, o sus valores, pueden estar duplicados.
 Ref: https://getbutterfly.com/security-headers-a-concise-guide/
 Ref: https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/xdomain.html

[icsd_h]
 Clear-Site-Data (Cabecera ignorada)

[icsdn_h]
 Clear-Site-Data (Sin directivas adecuadas)

[icsd]
 Al acceder mediante HTTP los navegadores ignoran esta cabecera.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data

[icsdn]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data

[icontdig_h]
 Content-Digest (Sin algoritmos seguros)

[icontdig]
 Incluya un algoritmo seguro.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Digest

[icontdigi_h]
 Content-Digest (Algoritmos inseguros)

[icontdigi]
 No use algoritmos inseguros, ya que se pueden forzar colisiones.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Digest

[icencod]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Encoding

[icencod_h]
 Content-Encoding (Sin directivas adecuadas)

[ictlg_h]
 Content-Type (Valores obsoletos)

[ictlg]
 El contenido JavaScript debe servirse siempre utilizando el tipo MIME 'text/javascript'.
 Ref: https://www.rfc-editor.org/rfc/rfc9239.html
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types

[ictlhtml_h]
 Content-Type (Tipo MIME distinto de HTML)

[ictlhtml]
 La URL no es un documento HTML. Este análisis puede que no aplique en su totalidad.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types/Common_types

[ictlchar_h]
 Content-Type (Valor inseguro)

[ictlchar]
 El atributo 'charset' es necesario para evitar ataques XSS en páginas HTML.
 Ref: https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Headers_Cheat_Sheet.html

[icrch_h]
 (*) Critical-CH (Cabecera ignorada)

[icrch]
 Al acceder mediante HTTP los navegadores ignoran esta cabecera.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Critical-CH

[idig_h]
 Digest (Cabecera obsoleta)

[idig]
 Esta cabecera está obsoleta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Digest

[idocp_h]
 Document-Policy (Sin directivas adecuadas)

[idoc]
 Incluya, al menos, una directiva correcta.
 Ref: https://wicg.github.io/document-policy/
 Ref: https://github.com/WICG/document-policy/blob/main/document-policy-explainer.md

[idocpi_h]
 Document-Isolation-Policy (Sin directivas adecuadas)

[idocpi]
 Incluya, al menos, una directiva correcta.
 Ref: https://wicg.github.io/document-isolation-policy/

[ixachd_h]
 Accept-CH (Valores obsoletos)

[ixach_h]
 Accept-CH (Cabecera ignorada)

[ixach]
 Al acceder mediante HTTP los navegadores ignoran esta cabecera.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Accept-CH

[ixachd_s]
 Estos valores están obsoletos: 

[ixachd]
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Accept-CH

[ixacl_h]
 Accept-CH-Lifetime (Cabecera obsoleta)

[ixacld]
 Esta cabecera está obsoleta.
 Ref: https://http.dev/content-negotiation#accept-ch-lifetime

[ixacp_h]
 Accept-Patch (Cabecera potencialmente insegura)

[ixacp]
 Asegúrese de que el método HTTP PATCH sea necesario
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Accept-Patch

[icred_h]
 Access-Control-Allow-Credentials (Valores incorrectos)

[icred]
 El único valor válido para esta cabecera es 'true'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials

[ixcdpr_h]
 Content-DPR (Cabecera obsoleta)

[ixcdprd]
 Esta cabecera está obsoleta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-DPR

[ixcdisp_h]
 Content-Disposition (Cabecera potencialmente insegura)

[ixcdisp]
 Codifica las URL de los archivos y sanitiza los caracteres '"', '/', '\r' y '\n'.
 Ref: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Disposition

[ipol_h]
 Integrity-Policy (Sin claves adecuadas)

[ipolr_h]
 Integrity-Policy-Report-Only (Sin claves adecuadas)

[ickeep_h]
 Keep-Alive (Cabecera ignorada)

[ipol]
 Incluya, al menos, una clave válida.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Integrity-Policy

[ipolr]
 Incluya, al menos, una clave válida.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Integrity-Policy-Report-Only

[ickeep]
 Esta cabecera se ignora si el valor de la cabecera "Connection" no es 'keep-alive'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Keep-Alive

[ixlalloc_h]
 Large-Allocation (Cabecera obsoleta)

[ixallocd]
 Esta cabecera está obsoleta.
 Ref: https://github.com/mdn/content/issues/14407

[inel_h]
 (*) NEL (Sin directivas adecuadas)

[iobsb_h]
 (*) Observe-Browsing-Topics (Sin directivas adecuadas)

[inel]
 Incluya, al menos, una directiva correcta.
 Ref: https://w3c.github.io/network-error-logging/#nel-response-header

[iobsb]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Observe-Browsing-Topics

[inelm_h]
 (*) NEL (Directivas ausentes)

[inelm]
 Las directivas 'report_to' y 'max_age' son obligatorias.
 Ref: https://w3c.github.io/network-error-logging/#nel-response-header

[ixtk_h]
 Tk (Cabecera obsoleta)

[ixtkd]
 Esta cabecera está obsoleta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Tk

[ixwandig_h]
 Want-Digest (Cabecera obsoleta)

[ixwandig]
 Esta cabecera está obsoleta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Want-Digest

[ixwar_h]
 Warning (Cabecera obsoleta)

[ixward]
 Esta cabecera está obsoleta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Warning

[ixvary_h]
 Vary (Cabecera potencialmente insegura)

[ixvary]
 Los valores de esta cabecera pueden exponer otras, facilitando ataques si aceptan input de usuario.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Vary
 Ref: https://www.yeswehack.com/fr/learn-bug-bounty/http-header-exploitation

[no_sec_headers]
 No hay cabeceras de seguridad HTTP habilitadas.

[no_enb_headers]
 No se recibieron cabeceras de respuesta HTTP.

[icsi_d_r]
 Ref: https://content-security-policy.com/
 Ref: https://centralcsp.com/docs/csp-directives
 Ref: https://developer.mozilla.org/es/docs/Web/HTTP/Reference/Headers/Content-Security-Policy

[itrailer_d_r]
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Trailer

[icsiro_d]
 Content-Security-Policy-Report-Only (Directivas ignoradas)

[icsiro_d_r]
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy-Report-Only

[icsi_d_s]
 Evite directivas ignoradas u obsoletas: 

[icsiroi_d]
 Content-Security-Policy-Report-Only (Cabecera ignorada)

[icsiroi]
 Utilice la directiva 'report-to' o esta cabecera no tendrá efecto.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy-Report-Only

[itrailer_d_s]
 Evite directivas no permitidas: 

[imethods_s]
 Asegúrese de que estos métodos HTTP son necesarios: 

[icsp_s]
 Revise las directivas

[icsp_si]
 Revise la directiva

[icooks_s]
 Revise las cookies 

[icook_s]
 Revise la cookie 

[icoep_h]
 Cross-Origin-Embedder-Policy (Sin directivas adecuadas)

[icoepu_h]
 Cross-Origin-Embedder-Policy (Valor potencialmente inseguro)

[icoepr_h]
 Cross-Origin-Embedder-Policy-Report-Only (Sin directivas adecuadas)

[icoepu]
 Revisa que estén habilitados "Private Network Access" y "Opaque Response Blocking".
 Ref: https://html.spec.whatwg.org/multipage/browsers.html#coep-credentialless

[icoep]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Embedder-Policy

[icoepr]
 Incluya, al menos, una directiva correcta.
 Ref: https://html.spec.whatwg.org/dev/browsers.html#the-coep-headers

[icoop_h]
 Cross-Origin-Opener-Policy (Sin directivas adecuadas)

[icoop]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Opener-Policy

[icoopi_h]
 Cross-Origin-Opener-Policy (Valor inseguro)

[icoopi]
 El valor 'unsafe-none' se considera inseguro.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Opener-Policy

[icoopr_h]
 Cross-Origin-Opener-Policy-Report-Only (Sin directivas adecuadas)

[icoopr]
 Incluya, al menos, una directiva correcta.
 Ref: https://html.spec.whatwg.org/dev/browsers.html#the-coop-headers

[icorp_h]
 Cross-Origin-Resource-Policy (Sin directivas adecuadas)

[icorp]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Resource-Policy

[icspmb_h]
 Content-Security-Policy (Directiva 'base-uri' ausente)

[icspmc_h]
 Content-Security-Policy (Directiva 'child-src' ausente)

[icspmcn_h]
 Content-Security-Policy (Directiva 'connect-src' ausente)

[icspmfo_h]
 Content-Security-Policy (Directiva 'font-src' ausente)

[icspmf_h]
 Content-Security-Policy (Directiva 'form-action' ausente)

[icspmfa_h]
 Content-Security-Policy (Directiva 'frame-ancestors' ausente)

[icspmi_h]
 Content-Security-Policy (Directiva 'img-src' ausente)

[icspmo_h]
 Content-Security-Policy (Directiva 'object-src' ausente)

[icspmr_h]
 (*) Content-Security-Policy (Directiva 'require-trusted-types-for' ausente)

[icspmsw_h]
 Content-Security-Policy (Directiva 'worker-src' ausente)

[icspms_h]
 Content-Security-Policy (Directiva 'script-src' ausente)

[icspmst_h]
 Content-Security-Policy (Directiva 'style-src' ausente)

[icspmstt_h]
 (*) Content-Security-Policy (Directiva 'trusted-types' ausente)

[icspe_h]
 Content-Security-Policy (Eval inseguro)

[icsp_h]
 Content-Security-Policy (Inline inseguro)

[icspiu_h]
 Content-Security-Policy (Directiva desconocida)

[icspi_h]
 Content-Security-Policy (Directiva insegura)

[imethods_h]
 Access-Control-Allow-Methods (Valores inseguros)

[iaccess_h]
 Access-Control-Allow-Origin (Valores inseguros)

[iacessma_h]
 Access-Control-Max-Age (Valor excesivo)

[iact_h]
 Activate-Storage-Access (Sin directivas adecuadas)

[iact]
 Incluya, al menos, una directiva correcta.
 Ref: https://privacycg.github.io/storage-access-headers/#activate-storage-access-header
 Ref: https://developers.google.com/privacy-sandbox/blog/storage-access-api-headers-logic

[iactr_h]
 Activate-Storage-Access (Valores incorrectos)

[iactr]
 'retry' requiere también 'allowed-origin'.
 Ref: https://developers.google.com/privacy-sandbox/blog/storage-access-api-headers-logic

[imethods_hh]
 Allow (Valores inseguros)

[icache_h]
 Cache-Control (Valores recomendados)

[icachev_h]
 Cache-Control (Sin directivas adecuadas)

[icsi_h]
 Content-Security-Policy (Sin directivas adecuadas)

[icsi_d]
 Content-Security-Policy (Directivas obsoletas)

[icsig_d]
 Content-Security-Policy (Keyword ignorada)

[icsn_h]
 Content-Security-Policy (Valores incorrectos)

[icsh_h]
 Content-Security-Policy (Esquemas inseguros)

[icsipa_h]
 Content-Security-Policy (IP detectada)

[icsw_h]
 Content-Security-Policy (Orígenes demasiado permisivos)

[icsu_h]
 Content-Security-Policy (Funcionalidad insegura)

[icsnces_h]
 Content-Security-Policy (Nonce inseguro)

[icsncei_h]
 Content-Security-Policy (Nonce incorrecto)

[icshash_h]
 Content-Security-Policy (Hash incorrecto)

[ieta_h]
 Etag (Cabecera potencialmente insegura)

[iexct_h]
 Expect-CT (Cabecera obsoleta)

[iexpi_h]
 Expires (Cabecera ignorada)

[iffea_h]
 Feature-Policy (Cabecera obsoleta)

[ihttp_h]
 HTTP (Esquema inseguro)

[ifpoln_h]
 (*) Permissions-Policy (Sin valores adecuados)

[ifnvarys_h]
 (*) No-Vary-Search (Sin directivas adecuadas)

[ifpol_h]
 (*) Permissions-Policy (Valores muy permisivos)

[ifpolf_h]
 (*) Permissions-Policy (Formato incorrecto)

[ifpoli_h]
 (*) Permissions-Policy (Valores incorrectos)

[ifpold_h]
 (*) Permissions-Policy (Valores obsoletos)

[iprag_h]
 Pragma (Cabecera obsoleta)

[iprxauthn_h]
 Proxy-Authenticate (Sin directivas adecuadas)

[iprxauth_h]
 Proxy-Authenticate (Valor inseguro)

[ipkp_h]
 Public-Key-Pins (Cabecera obsoleta)

[imcp_h]
 Mcp-Session-Id (Valor potencialmente inseguro)

[ipkpr_h]
 Public-Key-Pins-Report-Only (Cabecera obsoleta)

[irefd_h]
 Referrer-Policy (Valores duplicados)

[iref_h]
 Referrer-Policy (Valores recomendados)

[islogin_h]
 Set-Login (Sin directivas adecuadas)

[irefi_h]
 Referrer-Policy (Valor inseguro)

[irefn_h]
 Referrer-Policy (Valor incorrecto)

[irefr_h]
 Refresh (Cabecera potencialmente insegura)

[irept_h]
 Report-To (Cabecera obsoleta)

[irepe_h]
 Reporting-Endpoints (Valor ignorado)

[irepdig_h]
 Repr-Digest (Sin algoritmos seguros)

[irepdigi_h]
 Repr-Digest (Algoritmos inseguros)

[iwcondig_h]
 Want-Content-Digest (Sin algoritmos seguros)

[iwcondigi_h]
 Want-Content-Digest (Algoritmos inseguros)

[iwreprdig_h]
 Want-Repr-Digest (Sin algoritmos seguros)

[iwreprdigi_h]
 Want-Repr-Digest (Algoritmos inseguros)

[itim_h]
 Server-Timing (Cabecera potencialmente insegura)

[itwall_h]
 Service-Worker-Allowed (Valores muy permisivos)

[iset_h]
 Set-Cookie (Atributos inseguros)

[iseti_h]
 Set-Cookie (Esquema inseguro)

[iseti_m]
 Set-Cookie (Atributo ausente)

[ispref_m]
 Set-Cookie (Prefijos de cookies)

[ismap_m]
 SourceMap (Funcionalidad insegura)

[ispec_m]
 (*) Speculation-Rules (Cabecera potencialmente insegura)

[isdyn_h]
 Strict-Dynamic (Cabecera incorrecta)

[ists_h]
 Strict-Transport-Security (Valores recomendados)

[istsr_h]
 Strict-Transport-Security (Valores obligatorios)

[istsd_h]
 Strict-Transport-Security (Valores duplicados)

[ihsts_h]
 Strict-Transport-Security (Cabecera ignorada)

[itao_h]
 Timing-Allow-Origin (Cabecera potencialmente insegura)

[itrailer_h]
 Trailer (Directivas no permitidas)

[ictrf_h]
 Transfer-Encoding (Sin directivas adecuadas)

[islmodei_h]
 (*) Supports-Loading-Mode (Cabecera ignorada)

[islmode_h]
 (*) Supports-Loading-Mode (Sin directivas adecuadas)

[isurrmode_h]
 Surrogate-Control (Sin directivas adecuadas)

[iorigcluster_h]
 Origin-Agent-Cluster (Sin directivas adecuadas)

[ihbas_h]
 WWW-Authenticate (Valor inseguro)

[ixcsp_h]
 X-Content-Security-Policy (Cabecera obsoleta)

[ictpd_h]
 X-Content-Type-Options (Cabecera/Valores duplicados)

[ictp_h]
 X-Content-Type-Options (Valor incorrecto)

[ixdp_h]
 X-DNS-Prefetch-Control (Cabecera potencialmente insegura)

[ixdow_h]
 X-Download-Options (Cabecera obsoleta)

[ixfo_h]
 X-Frame-Options (Valores duplicados)

[ixfod_h]
 X-Frame-Options (Valor obsoleto)

[ixfoi_h]
 X-Frame-Options (Valores incorrectos)

[ixpad_h]
 X-Pad (Cabecera obsoleta)

[ixpermcrossu_h]
 X-Permitted-Cross-Domain-Policies (Valor inseguro)

[ixpb_h]
 X-Pingback (Valor inseguro)

[ixrob_h]
 X-Robots-Tag (Valor inseguro)

[ixrun_h]
 X-Runtime (Valor inseguro)

[ixsrc_h]
 X-SourceMap (Cabecera obsoleta)

[ixwcsp_h]
 X-Webkit-CSP (Cabecera obsoleta)

[ixxp_h]
 X-XSS-Protection (Valor inseguro)

[ixxpdp_h]
 X-XSS-Protection (Cabecera obsoleta)

[ixxpd_h]
 X-XSS-Protection (Valores duplicados)

[ictlmeta_h]
 Content-Type (Valor incorrecto - Cuerpo de la respuesta)

[ictlmeta]
 Los únicos valores permtidos son 'text/html; charset=utf-8' o 'text/html; charset=UTF-8'
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTML/Element/meta#charset
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTML/Reference/Elements/meta/http-equiv

[ixuameta_h]
 X-UA-Compatible (Valor incorrecto - Cuerpo de la respuesta)

[ixuameta]
 El único valor permitido es 'IE=edge'
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTML/Element/meta

[humble_desc]
'humble' (Analizador de cabeceras HTTP)

[pdf_footer]
Página

[pdf_footer2]
 de

[pdf_meta_title]
Análisis de las cabeceras HTTP de

[pdf_meta_keywords]
Análisis, Analizador, Cabeceras, Ciberseguridad, HTTP, Seguridad

[pdf_meta_language]
es-ES

[pdf_meta_subject]
Informe de cabeceras HTTP

[excel_meta_generated]
Análisis generado por

[0section_s]
0.- Información

[0headers_s]
Cabeceras de respuesta HTTP

[1enabled_s]
1.- Cabeceras habilitadas

[2missing_s]
2.- Cabeceras no habilitadas

[3fingerprint_s]
3.- Huella digital por cabeceras

[4depinsecure_s]
4.- Protocolos/Cabeceras obsoletas o inseguras

[5empty_s]
5.- Cabeceras sin valor

[6compat_s]
6.- Compatibilidad de navegadores

[7result_s]
7.- Resultados del análisis

[e_chunk]
 Error: El servidor declaró codificación por partes pero envió una incorrecta.

[e_decoding]
 Error: Al descodificar el contenido de la respuesta.

[e_mschema]
 Error: Incluye un esquema válido ('http://' o 'https://') en la URL.

[e_url]
 Error: La URL no resuelve; revísala y prueba de nuevo.

[server_serror]
 Error en servidor; espera unos minutos y prueba de nuevo.

[e_connection]
 Error: La petición ha expirado al intentar conectarse al servidor; revisa la URL y prueba de nuevo.

[e_redirect]
 Error: Demasiadas redirecciones.

[e_timeout]
 Error: La solicitud excedió el tiempo de espera. Verifica la URL.

[e_ischema]
 Error: El esquema de la URL no es válido o no es compatible.

[report]
 guardado en

[0section]
[0. Información]

[0headers]
[Cabeceras de respuesta HTTP]

[1enabled]
[1. Cabeceras HTTP de seguridad habilitadas]

[2missing]
[2. Cabeceras HTTP de seguridad ausentes]

[3fingerprint]
[3. Huella digital por cabeceras de respuesta HTTP]

[4depinsecure]
[4. Protocolos/Cabeceras HTTP de seguridad obsoletas o con valores inseguros]

[5empty]
[5. Cabeceras de respuesta HTTP sin valor]

[6compat]
[6. Compatibilidad de navegadores para cabeceras HTTP de seguridad habilitadas]

[7result]
[7. Resultados del análisis]

[analysis]
 Analizando URL, espera por favor ...

[unreliable_analysis]
 (La URL no responde en el tiempo esperado — quizá por problemas de red o WAF — el análisis podría no ser fiable)

[unreliable_analysis_note]
 Nota : El análisis puede no ser fiable por el tiempo que tardó en responder la URL.

[limited_analysis_note]
 Nota: Exportar a JSON limita actualmente a un análisis breve

[analysis_redirects_note]
 Nota : Se analizará la URL exacta, sin seguir redireccionamientos.

[analysis_skipped_note]
 Nota : Las cabeceras HTTP excluidas expresamente en este análisis son

[proxy_analysis_note]
 Note : El proxy especificado para este análisis es

[analysis_output]
 Analizando URL y guardando el informe, espera por favor ...

[analysis_date]
 Fecha:

[python_version]

 Error: 'humble' requiere, al menos, Python 3.11.
 Ref: https://github.com/rfc-st/humble#installation--update

[no_warnings]
 Todo parece estar bien.

[mcache]
 Directivas para el cacheo de peticiones y respuestas.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control

[mcsd]
 Elimina datos asociados a cookies, cache, etc. del sito web.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data

[mctype]
 Indica el tipo de medio original del recurso.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Type

[mcoe]
 Evita que un documento cargue recursos de origen cruzado sin permiso previo.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Embedder-Policy

[mcop]
 Evita que otros sitios web obtengan referencias de ventanas arbitrarias.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Opener-Policy

[mcor]
 Evita la carga de ciertos recursos por otras fuentes.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)

[mcsp]
 Detecta y mitiga, entre otros, ataques Cross-site scripting.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

[mcipol]
 Bloquea ciertos recursos sin Subresource Integrity asociada.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Integrity-Policy

[mpermission]
 Anteriormente llamada "Feature-Policy", permite o deniega funciones del navegador.
 Ref: https://scotthelme.co.uk/goodbye-feature-policy-and-hello-permissions-policy/

[mnel]
 Permite declarar directivas para notificar errores.
 Ref: https://scotthelme.co.uk/network-error-logging-deep-dive/

[mreferrer]
 Controla los datos del referrer que deben incluirse en las peticiones.
 Ref: https://scotthelme.co.uk/a-new-security-header-referrer-policy/

[msts]
 Indica a los navegadores que accedan al sitio web exclusivamente por HTTPS.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

[mxcto]
 Indica que se sigan los tipos MIME indicados en la cabecera "Content-Type".
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

[mxfo]
 Evita los ataques de clickjacking, limitando las fuentes de contenido embebido.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

[mxpcd]
 Limita el acceso a datos por recursos externos (ej. documentos Adobe Flash/PDF) en el dominio.
 Ref: https://owasp.org/www-project-secure-headers/#div-headers

[iaccess]
 Revise los valores '*' o 'null', y sus requisitos de intercambio de recursos de origen cruzado.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin

[iaccessma]
 El valor de esta cabecera supera el máximo permitido (86400) en los navegadores más utilizados.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Max-Age

[icache]
 Habilite 'no-cache' y 'no-store' si hay datos sensibles en la URL analizada.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control

[icachev]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cache-Control

[icspmb]
 Evita redirecciones maliciosas desde la URL base; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/base-uri

[icspmc]
 Evita ejecutar código malicioso vía workers/frames; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/child-src

[icspmcn]
 Protege contra la exfiltración no autorizada de datos; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/connect-src

[icspmfo]
 Evita cargar fuentes web maliciosas; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/font-src

[icspmf]
 Evita ataques Cross-Site Request Forgery; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/form-action

[icspmfa]
 Evita ataques de clickjacking; intenta habilitarla con 'none'.
 Puedes ignorar este aviso si está habilitada la cabecera HTTP 'X-Frame-Options'.
 Ref: https://centralcsp.com/docs/frame-ancestors
 Ref: https://www.w3.org/TR/CSP3/#frame-ancestors-and-frame-options

[icspmi]
 Evita ataques vía imágenes; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/img-src

[icspmo]
 Evita inyección de plugins; intenta habilitarla con 'none'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/object-src

[icspmr]
 Evita inyección de XSS en el DOM en los scripts; intenta habilitarla con 'script'.
 Ref: https://content-security-policy.com/require-trusted-types-for/

[icspms]
 Habilitada de forma segura evita ataques XSS.
 Ref: https://auth0.com/blog/defending-against-xss-with-csp/

[icspmst]
 Evita ataques vía hojas de estilo; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/style-src

[icspmstt]
 Evita ataques XSS; intenta habilitarla con 'none' o una política segura.
 Ref: https://centralcsp.com/docs/trusted-types

[icspmsw]
 Evita ejecutar worker scripts no autorizados; intenta habilitarla con 'self'.
 Ref: https://centralcsp.com/docs/worker-src

[icspev]
 El valor 'unsafe-eval' incrementa el riesgo de Cross-site scripting (XSS).
 Utiliza el valor 'wasm-unsafe-eval' si necesitas need WebAssembly,
 o elimina las funciones que evaluen código a partir de cadenas, como eval().
 Ref: https://mdn.io/eval
 Ref: https://mdn.io/script-src

[icsp]
 El valor 'unsafe-inline' incrementa el riesgo de Cross-site scripting (XSS).
 Elimínalo y utiliza hash o nonces en su lugar.
 Ref: https://content-security-policy.com/hash/
 Ref: https://content-security-policy.com/nonce/
 Ref: https://csper.io/blog/no-more-unsafe-inline

[icspiu]
 El nombre no coincide con ninguna directiva CSP reconocida oficialmente.
 Ref: https://centralcsp.com/docs/csp-directives
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy

[icspi]
 'upgrade-insecure-requests' sin la cabecera 'HSTS' podría facilitar ataques SSL Stripping.
 Ref: https://robotecture.com/http-topics/http-headers/upgrade-insecure-requests/
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

[icsi]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

[icsig]
 'strict-dynamic' requiere un hash/nonce; sin ellos los navegadores ignoran esta keyword.
 Ref: https://content-security-policy.com/strict-dynamic/

[icsn]
 '=', en el contexto de esta cabecera, puede ser un valor incorrecto.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

[icsh]
 Y no permita esquemas inseguros, sin encriptar: 

[icsh_b]
 Ref: https://http.dev/wss
 Ref: https://www.cloudflare.com/learning/ssl/why-is-http-not-secure/

[icsw]
 Y limite orígenes permisivos: 

[icsu]
 Evite 'unsafe-hashes' y traslade toda su lógica a un fichero Javascript.
 Ref: https://content-security-policy.com/unsafe-hashes/

[icsncesn]
 Revise el nonce 

[icshash_f]
 Revise el formato y longitud de los hashes.

[icshashr_f]
 Deben estar entre comillas simples y tener 32, 48 o 64 bytes (sha256, sha384 o sha512).
 Ref: https://content-security-policy.com/hash/

[icsnces]
 Todos deben tener un tamaño de al menos 128 bits (32 caracteres hexadecimales / 24 en base64).
 Ref: https://www.w3.org/TR/CSP3/#security-nonces

[icsncei]
 Los nonces deben ir entre comillas simples.
 Ref: https://portswigger.net/research/using-form-hijacking-to-bypass-csp

[icsipa]
 Los estándares desaconsejan las direcciones IP como valores (excepto para 127.0.0.1).
 Ref: https://www.w3.org/TR/CSP3/#match-hosts
 Ref: https://www.w3.org/TR/CSP2/#match-source-expression

[ictp]
 El único valor permitido es 'nosniff'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

[ictpd]
 Valores distintos, o varias cabeceras con ellos, podrían hacer que los navegadores las ignoren.
 Ref: https://shorturl.at/qjIgB
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

[ieta]
 Aunque el riesgo pueda ser mínimo, esta cabecera no debe incluir datos de inodes.
 Ref: https://www.pentestpartners.com/security-blog/vulnerabilities-that-arent-etag-headers/

[iffea]
 "Feature-Policy" ha pasado a llamarse "Permissions-Policy".
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy

[ifnvarys]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/No-Vary-Search

[ifpoln]
 Incluya, al menos, una directiva correcta.
 Ref: https://csplite.com/fp/
 Ref: https://github.com/w3c/webappsec-permissions-policy/blob/main/features.md

[ifpol]
 '*' permite una directiva en cualquier origen, incluso en iframe.
 Ref: https://developer.chrome.com/en/docs/privacy-sandbox/permissions-policy/

[ifpolf]
 Las directivas deben separarse ùnicamente con una coma.
 https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/Permissions_Policy

[ifpoli]
 Utilice '=()' en vez de 'none'.
 Ref: https://scotthelme.co.uk/goodbye-feature-policy-and-hello-permissions-policy/

[ifpold_h_s]
 Evite valores obsoletos: 

[ifpold]
 Ref: https://github.com/w3c/webappsec-permissions-policy/blob/main/features.md

[ihttp]
 Uso de esquema inseguro HTTP, con comunicaciones sin cifrar.
 Ref: https://www.cloudflare.com/learning/ssl/why-is-http-not-secure/

[imethods]
 Ref: https://appcheck-ng.com/http-verbs-security-risks/

[icsw_b]
 Ref: https://content-security-policy.com/

[iprag]
 Esta cabecera está obsoleta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Pragma

[ipkp]
 Esta cabecera está obsoleta.
 Ref: https://scotthelme.co.uk/hpkp-is-no-more/

[imcp]
 Asegúrate de que el valor de esta cabecera sea globalmente único y criptográficamente seguro.
 P. ej., un UUID generado de forma segura, un JWT o un hash criptográfico.
 Ref: https://modelcontextprotocol.io/specification/2025-03-26/basic/transports

[iprxauthn]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Proxy-Authenticate

[itrf]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Transfer-Encoding

[irefd]
 Esta cabecera, o sus valores, pueden estar duplicados.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

[iref]
 Utiliza un valor restrictivo si hay recursos sensibles en la URL.
 Ref: https://www.w3.org/TR/referrer-policy/#information-leakage

[islogin]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Login

[irefi]
 'unsafe-url' filtra datos potencialmente privados de las URLs HTTPS a fuentes inseguras.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

[irefn]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

[irefr]
 Correos electrónicos en esta cabecera HTTP podrían facilitar ataques de phishing.
 Ref: https://unit42.paloaltonetworks.com/rare-phishing-page-delivery-header-refresh/

[irept]
 Esta cabecera está obsoleta; utilice en vez de ella "Reporting-Endpoints".
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Report-To

[irepe]
 Los endpoints inseguros ('http:') se ignoran.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Reporting-Endpoints

[irepdig]
 Incluya un algoritmo seguro.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Repr-Digest

[irepdigi]
 No use algoritmos inseguros, ya que se pueden forzar colisiones.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Repr-Digest

[iwcondig]
 Incluya un algoritmo seguro.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Want-Content-Digest

[iwcondigi]
 No use algoritmos inseguros, ya que se pueden forzar colisiones.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Want-Content-Digest

[iwreprdig]
 Incluya un algoritmo seguro.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Want-Repr-Digest

[iwreprdigi]
 No use algoritmos inseguros, ya que se pueden forzar colisiones.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Want-Repr-Digest

[iset]
 Cualquier cookie asociada a datos sensibles debe incluir 'Secure' y 'HttpOnly'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

[iseti]
 Las cookies con atributos 'Secure' deben enviarse vía HTTPS (excepto en localhost).
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

[isetm]
 Las cookies 'SameSite=None' también deben establecerse con el atributo 'Secure'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

[ispref]
 Las cookies '__Host-' y '__Secure-' deben servirse desde HTTPS y tener el flag 'secure'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

[ismap]
 Esta cabecera puede exponer información sensible sobre el código fuente original.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/SourceMap

[ispec]
 Asegúrese que esta cabecera no permita condiciones de carga especulativa inseguras.
 Ref: https://developer.mozilla.org/en-US/docs/Web/API/Speculation_Rules_API
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Speculation-Rules

[isdyn]
 Esto no es una cabecera, sino una palabra clave de la cabecera "Content-Security-Policy".
 Ref: https://content-security-policy.com/strict-dynamic/

[ists]
 Habilite 'includeSubDomains' y 'max-age' (con 31536000 -un año- como mínimo).
 Ref: https://https.cio.gov/hsts/
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

[istsr]
 'preload' requiere 'includeSubDomains' y 'max-age' (con 31536000 -un año- como mínimo).
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

[istsd]
 Esta cabecera, o sus valores, pueden estar duplicados.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

[islmodei]
 Al acceder mediante HTTP los navegadores ignoran esta cabecera.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Supports-Loading-Mode

[islmode]
 Incluya, al menos, una directiva correcta.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Supports-Loading-Mode

[isurrmode]
 Incluya, al menos, una directiva correcta.
 Ref: https://www.w3.org/TR/edge-arch/

[iorigcluster]
 EL único valor permitido es '?1'.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Origin-Agent-Cluster

[ihsts]
 Al acceder mediante HTTP los navegadores ignoran esta cabecera.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

[ihbas]
 La autenticación HTTP 'Basic' transmite credenciales codificados en base64, sin cifrarlos.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication

[iexct]
 Esta cabecera está obsoleta.
 Ref: https://chromestatus.com/feature/6244547273687040
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT

[iexpi]
 Cabecera ignorada por las directivas 'max-age' o 's-maxage' en la cabecera que controla la caché.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expires

[itao]
 El valor '*' permite a cualquier origen ver recursos pontencialmente sensibles.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Timing-Allow-Origin

[itim]
 Esta cabecera no debe exponer datos sensibles o de infraestructura.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server-Timing

[itwall]
 El ámbito '/' es muy permisivo; evalúa el acotarlo.
 Ref: https://www.zeepalm.com/blog/service-worker-security-best-practices-2024-guide
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Service-Worker-Allowed

[ixpermcrossu]
 El valor 'all' permite peticiones de documentos Flash y PDF entre dominios.
 Ref: https://getbutterfly.com/security-headers-a-concise-guide/
 Ref: https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/xdomain.html

[ixcsp]
 Esta cabecera está obsoleta; en su lugar habilite una cabecera "Content-Security-Policy" estricta.
 Ref: https://web.dev/articles/strict-csp
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/CSP#strict_csp
 Ref: https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html
 Ref: https://developer.mozilla.org/en-US/docs/Web/Security/Practical_implementation_guides/CSP

[ixdp]
 Esta cabecera puede eludir las directivas de la cabecera "Content-Security-Policy".
 Ref: https://blog.compass-security.com/2016/10/bypassing-content-security-policy-with-dns-prefetching/

[ixdow]
 Esta cabecera es exclusiva de Internet Explorer 8 (obsoleto desde 2020).
 Ref: https://webtechsurvey.com/response-header/x-download-options
 Ref: https://docs.microsoft.com/en-us/lifecycle/products/internet-explorer-8

[ixfo]
 Esta cabecera, o sus valores, pueden estar duplicados.
 Consejo: sustituya esta cabecera por la directiva 'frame-ancestors' de CSP.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

[ixfod]
 'ALLOW-FROM' no está soportado en los navegadores actuales.
 Consejo: sustituya esta cabecera por la directiva 'frame-ancestors' de CSP.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

[ixfodi]
 Los únicos valores permitidos en esta cabeceras son 'DENY' o 'SAMEORIGIN'.
 Consejo: sustituya esta cabecera por la directiva 'frame-ancestors' de CSP.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

[ixpad]
 Esta cabecera está obsoleta desde 2008.
 Ref: https://stackoverflow.com/questions/8711584/x-pad-avoid-browser-bug-header-added-by-apache

[ixpb]
 xmlrpc.php supone un riesgo de seguridad; ha sido sustituido por la API REST de WordPress.
 Ref: https://kinsta.com/blog/xmlrpc-php/

[ixrob]
 El valor 'all' permite que se indexe, y sirva, todo el contenido del sitio web.
 Puede suponer un riesgo de seguridad, al indexar datos sensibles.
 Ref: https://developers.google.com/search/docs/crawling-indexing/robots-meta-tag

[ixrun]
 El valor de esta cabecera puede facilitar la identificación de usuarios activos.
 Ref: https://www.virtuesecurity.com/kb/x-runtime-header-timing-attacks/

[ixsrc]
 Esta cabecera está obsoleta. Utiliza "SourceMap".
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/SourceMap

[ixxp]
 En algunos casos, valores distintos de "0" pueden crear vulnerabilidades XSS.
 En su lugar habilite una cabecera "Content-Security-Policy" estricta.
 Ref: https://web.dev/articles/strict-csp
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/CSP#strict_csp
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
 Ref: https://developer.mozilla.org/en-US/docs/Web/Security/Practical_implementation_guides/CSP

[ixxpdp]
 Esta cabecera está obsoleta en los principales navegadores web.
 En su lugar habilite una cabecera "Content-Security-Policy" estricta.
 Ref: https://web.dev/articles/strict-csp
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/CSP#strict_csp
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
 Ref: https://developer.mozilla.org/en-US/docs/Web/Security/Practical_implementation_guides/CSP

[ixxpd]
 Esta cabecera, o sus valores, pueden estar duplicados.
 Ref: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

[aemp]
 Cabeceras HTTP vacías (y por ello se consideran deshabilitadas):

[afgp]
 Estas cabeceras pueden exponer IPs, hostnames, software o sus versiones:

[aisc]
 Estas cabeceras, o protocolos, están obsoletos o sus valores son inseguros:

[ru_check]

 'humble' no analizará dominios rusos hasta que se retire de Ucrania.
 Por favor, lee esto: https://github.com/rfc-st/humble/blob/master/CODE_OF_CONDUCT.md#update-20220326

[enabled_cnt]
 Cabeceras habilitadas:

[enabled_cnt_w]
 Nota (cabeceras habilitadas):

[enabled_cnt_wt]
 Cero puede indicar bloqueo de tu IP/esta herramienta.

[missing_cnt]
 Cabeceras no habilitadas:

[fng_cnt]
 Huella digital por cabeceras:

[insecure_cnt]
 Protocolos/Cabeceras obsoletas o inseguras:

[empty_cnt]
 Cabeceras vacías:

[total_cnt]
 Advertencias a revisar:

[analysis_time]
 Realizado en

[analysis_time_sec]
 segundos! (cambios con respecto al ultimo análisis entre paréntesis)

[first_analysis]
Primer análisis

[notaval_analysis]
No disponible

[no_changes]
Sin cambios

[stats_analysis]
Estadísticas de

[global_stats_analysis]
Estadísticas globales de todos los análisis realizados

[total_analysis]
 Análisis realizados 

[first_analysis_a]
 Primer análisis     

[latest_analysis]
 Último análisis     

[urls]
URLs

[most_analyzed]
 Más analizadas

[least_analyzed]
 Menos analizadas

[most_warnings]
 Más advertencias

[least_warnings]
 Menos advertencias

[most_enabled]
 Más cabeceras habilitadas

[least_enabled]
 Menos cabeceras habilitadas

[most_missing]
 Más cabeceras por habilitar

[least_missing]
 Menos cabeceras por habilitar

[most_fingerprints]
 Más huella digital por cabeceras

[least_fingerprints]
 Menos huella digital por cabeceras

[most_insecure]
 Más cabeceras/protocolos inseguros/obsoletos

[least_insecure]
 Menos cabeceras/protocolos inseguros/obsoletos

[most_empty]
 Más cabeceras vacías

[least_empty]
 Menos cabeceras vacías

[best_analysis]
 Mejor análisis      

[worst_analysis]
 Peor análisis       

[total_global_analysis]
 URLs analizadas     

[total_warnings]
(Advertencias: 

[no_analysis]
Error: Para utilizar esta opción ('-a') debes haber ejecutado, como mínimo, un análisis contra esa URL.

[no_global_analysis]
Error: Para utilizar esta opción ('-a') debes haber ejecutado, como mínimo, un análisis contra una URL.

[no_enabled]
 Sin cabeceras habilitadas

[no_missing]
 Sin cabeceras por habilitar

[no_fingerprint]
 Sin huellas digitales

[no_ins_deprecated]
 Sin cabeceras/protocolos inseguros/obsoletos

[no_empty]
 Sin cabeceras vacías

[analysis_year_month]
Cronología

[analysis_y]
Análisis

[average_warnings]
 Advertencias por análisis

[average_warnings_year]
 Advertencias por año

[average_enb]
 Cabeceras habilitadas por análisis

[average_miss]
 Cabeceras sin habilitar por análisis

[average_fng]
 Cabeceras con huella digital por análisis

[average_dep]
 Cabeceras/protocolos inseguros/obsoletos por análisis

[average_ety]
 Cabeceras vacías por análisis

[averages]
Promedios

[main]
Principales

[empty_fng]
 (Sin valor)

[highlights]
A destacar

[trends]
Tendencias

[t_improving]
 Mejorando

[t_worsening]
 Empeorando

[t_fluctuating]
 Fluctuando

[t_stable]
 Estable

[t_insufficient]
 Analice la URL al menos 5 veces para mostrar tendencias fiables

[month_01]
 Enero

[month_02]
 Febrero

[month_03]
 Marzo

[month_04]
 Abril

[month_05]
 Mayo

[month_06]
 Junio

[month_07]
 Julio

[month_08]
 Agosto

[month_09]
 Septiembre

[month_10]
 Octubre

[month_11]
 Noviembre

[month_12]
 Diciembre

[humble_latest]
 Última versión :

[humble_local]
Tu versión     :

[humble_not_recent]
 Tu versión de 'humble' no es reciente.

[humble_recent]

 Utilizas una versión reciente de 'humble' - ¡genial! :)

 Mantener tus herramientas de seguridad (como ésta) actualizadas te permite:

 .- Utilizar las últimas funciones, ej. nuevas comprobaciones de Protocolos/Cabeceras obsoletas o inseguras en "additional/insecure.txt".
 .- Trabajar con listados actualizados, ej. nuevas huellas digitales en "additional/fingerprint.txt".
 .- Encontrarte con, !espero!, menos errores :).

[github_humble]
 Comprueba las actualizaciones en https://github.com/rfc-st/humble/

[update_error]
 Hubo un error al comprobar si usas la versión más reciente; espera unos minutos y vuelve a intentarlo.

[fng_stats]
 Estadísticas de huella digital por cabeceras

[fng_source]
 (fichero fuente: 'additional/fingerprint.txt')

[fng_add]
 Cabeceras relacionadas con

[fng_zero]
 No se han encontrado cabeceras relacionadas con

[fng_zero_2]
 Consejo: entrecomilla varias palabras para buscar coincidencias exactas; ej. 'Microsoft Azure Storage'

[fng_top]
 Top 20 de grupos de cabeceras por huella digital en relación a las

[fng_top_2]
 cabeceras del fichero fuente.

[ua_available]
 User-Agents disponibles

[ua_source]
 (fuente: 'additional/user_agents.txt')

[ua_custom]
 Nota : Seleccionado el User-Agent

[ua_custom2]
 del fichero '/additional/user_agents.txt'

[ua_invalid]
Error: No existe ese ID de User-Agent; consulta los disponibles con '-ua 0'

[args_notestssl]
Error: El parámetro '-e' requiere la ruta de 'testssl' y el parámetro '-u'.

[args_inputfile]
Error: El parámetro '-if' no requiere los parámetros '-df', '-r' o -'ua'.

[args_urlinputfile]
Error: El parámetro '-if' requiere el parámetro '-u'.

[args_inputnotfound]
Error: No se encuentra el fichero de entrada en la ruta indicada.

[args_inputunicode]
Error: El fichero de entrada no contiene texto unicode válido en formato UTF-8 o es un binario.

[args_inputlines]
Error: El fichero de entrada no contiene líneas con el formato 'cabecera http: valor'. Ej. 'x-frame-options: deny'.

[args_lang]
Error: Los parámetros '-c' y '-l' requieren de los parámetros '-u' o '-a'. El parámetro '-cicd' requiere el parámetro '-u'.

[args_useragent]
Error: El parámetro '-ua' requiere el parámetro '-u'.

[args_several]
Error: Los parámetros '-b', '-c', '-cicd', '-df', -'o', '-r' y '-s' requieren el parámetro '-u'.

[args_customfile]
Error: El parámetro -of' requiere los parámetros '-u' y '-o'.

[notestssl_file]
Error: 'testssl' no existe en la ruta indicada.

[notestssl_path]
Error: la ruta indicada de 'testssl' es incorrecta.

[notestssl_exec]
Error: 'testssl' no es un fichero ejecutable.

[testssl_warning]
AVISO: Vas a ejecutar el fichero

[testssl_choice]
¿Confías en ese fichero? [y/n]:

[args_skipped]
Error: El parámetro '-s' requiere, al menos, el nombre de una cabecera HTTP de respuesta.

[args_skipped_unknown]
Error: Elimine estas cabeceras HTTP del parámetro '-s' ya que no se analizan

[args_nooutputfmt]
Error: El parámetro '-op' requiere el parámetro '-o'.

[args_noexportpath]
Error: No existe la ruta indicada

[args_pathe]
Error: No se puede usar la ruta

[args_input_traversal]
Error: El nombre del fichero, o la ruta absoluta, indicados parecen erróneos

[csv_section]
Sección

[csv_values]
Valores

[cicd_total]
Total

[cicd_diff]
Diferencias

[cicd_error]
Error

[cicd_info]
Info

[cicd_grade]
Nota del análisis

[cicd_grade_note]
Nota

[fng_value]
Valor:

[export_filename]
 Fich.:

[e_grade]
 Nota del análisis:                           E (Revisa 'Cabeceras habilitadas')

[d_grade]
 Nota del análisis:                           D (Revisa 'Protocolos/Cabeceras obsoletas o inseguras')

[c_grade]
 Nota del análisis:                           C (Revisa 'Cabeceras no habilitadas')

[b_grade]
 Nota del análisis:                           B (Revisa 'Huella digital por cabeceras')

[a_grade]
 Nota del análisis:                           A (Revisa 'Cabeceras sin valor')

[perfect_grade]
 Nota del análisis:                           A+ (Increíble, enhorabuena!)

[testssl_error]
Error en el análisis TLS/SSL.

[unhandled_exception]
Excepción no gestionada:

[exp_header]
(*) 

[experimental_header]
 Significado de '(*)':                        Cabecera de respuesta HTTP experimental
 Referencia de '(*)':                         https://mdn.io/Experimental_deprecated_obsolete

[compliance_output]
 Analizando la URL en relación a las mejores prácticas de OWASP 'Secure Headers Project', espera por favor ...

[comp_analysis]
 [Resumen de las mejores prácticas de OWASP Secure Headers]

[comp_ref]
  Ref  : https://owasp.org/www-project-secure-headers/#div-bestpractices
  Note : Usa este análisis como base para asegurar las cabeceras HTTP y sus valores.

[comp_experimental]
  Significado de '(*)': Cabecera de respuesta HTTP experimental
  Referencia de '(*)':  https://mdn.io/Experimental_deprecated_obsolete

[comp_rec]
 [Cabeceras recomendadas ausentes]

[comp_val]
 [Cabeceras habilitadas con valores no conformes]

[comp_rec_val]
 [Valores recomendados para las cabeceras habilitadas]

[comp_summary]
 [Resultados del análisis]

[comp_missing]
 Cabeceras recomendadas ausentes

[comp_noncompliant]
 Cabeceras con valores no conformes

[input_filename]
 Input:

[json_gen]
Generador

[proxy_host]
 Error: La URL del proxy no es válida.

[proxy_port]
 Error: El puerto de proxy no es válido.

[proxy_url]
 Error: Proxy no accesible.

[test_python]
 (sin parámetros); comprueba que la versión de Python es igual o superior a 3.11.

[test_help]
 (parámetro '-h'); comprueba que la Ayuda se muestra correctamente.

[test_brief]
 (parámetro '-b'); comprueba que un análisis breve finaliza correctamente.

[test_cicd]
 (parámetro '-cicd'); comprueba que un análisis CI/CD finaliza correctamente.

[test_detailed]
 (sin parámetros); comprueba que un análisis detallado finaliza correctamente.

[test_export]
 (parámetro '-o html'); comprueba que un análisis detallado se exporta a HTML correctamente.

[test_fingerprint_stats]
 (parámetro '-f Google'); comprueba que las estadísticas de huellas digitales se muestran correctamente para el término 'Google'.

[test_input_file]
 (parámetros '-if <FICHERO_CABECERAS> -u <URL>'); comprueba que puede analizarse correctamente un fichero con información de cabeceras.

[test_l10n]
 (parámetro '-l es'); comprueba que los mensajes en castellano se muestran correctamente en un análisis detallado.

[test_skipped_headers]
 (parámetro '-s ETAG NEL'); comprueba que la exclusión de cabeceras HTTP se aplica correctamente en un análisis detallado.

[test_updates]
 (parámetro '-v'); verifica que la lógica para comprobar actualizaciones funciona correctamente.

[test_user_agent]
 (parámetro '-ua 4'); comprueba que el cuarto 'User-Agent' se aplique correctamente en un análisis detallado.

[test_tests]
Pruebas realizadas el

[test_input]
'test_input_file' utiliza una URL predefinida

[test_remaining]
URL para el resto de pruebas

[test_temp]
Eliminado fichero temporal de análisis

[test_ftemp]
No se pudo eliminar el fichero temporal de análisis

[test_txt]
Eliminado fichero TXT final

[test_ftxt]
No se pudo eliminar el fichero TXT final

[test_html]
Eliminado fichero HTML final

[test_fhtml]
No se pudo eliminar el fichero HTML final

[test_cache]
Eliminado directorio de caché de pytest

[test_fcache]
No se pudo eliminar el directorio de caché de pytest

[test_timeout]
Tiempo de espera superado

[test_pythonm]
Se requiere, al menos, Python 3.11; se encontró

[test_expected]
Texto

[test_notfound]
no encontrado

[test_elang]
Error: el parámetro '-l' requiere también el parámetro '-u'.

[args_json_lang]
Error: El análisis detallado en JSON solo está disponible actualmente en inglés.

[json_det_fngheader]
Cabecera

[json_det_fngval]
Valor

[json_det_details]
Detalles

[json_det_inscheck]
Advertencia

[json_det_refs]
Referencias

[json_det_analysis]
Duración

[json_det_empty]
Descripción

[json_det_empty_s]
Resultado

[json_det_empty_h]
Cabeceras

[json_det_compat]
Referencia

[e_custom_headers]
Error: Estas cabeceras de respuesta no están bien formadas

[e_custom_eheaders]
Error: el parámetro '-H' requiere de al menos una cabecera de respuesta y sus valores.

[e_custom_uheaders]
Error: el parámetro '-H' requiere el parámetro '-u'.