Red

Analizador de mensajes HTTP

Pega un mensaje HTTP sin procesar, un comando cURL o el fragmento fetch copiado desde Chrome DevTools. La herramienta separa línea de solicitud, código de estado, headers, parámetros de consulta, cookies y body en una vista estructurada, y después puede regenerar la misma llamada como cURL, HTTPie, fetch, axios, Python requests, Go, PHP y más de treinta formatos de cliente. Todo se ejecuta en el navegador; los mensajes y las cookies no salen de esta página.

  • Un solo cuadro de entrada reconoce automáticamente HTTP sin procesar, cURL y fragmentos fetch
  • Analiza solicitudes y respuestas, con tablas para headers, query, Cookie y Set-Cookie
  • El body se clasifica por Content-Type como JSON, formulario, XML o texto, con resaltado de sintaxis
  • Una sola copia puede convertirse en más de treinta formatos de cliente y lenguajes de destino
tools/Analizador de mensajes HTTP

Empieza aquí

Pega un mensaje HTTP sin procesar, un comando cURL o un fragmento fetch de DevTools en la entrada izquierda; el resultado aparecerá aquí.

Probar un ejemplo
Ejemplos

Resumen

Pega solicitudes o respuestas sueltas; la herramienta extrae la estructura, realiza comprobaciones ligeras y puede devolver la misma llamada en otro formato.

  1. 01

    Tres formas de pegado con detección automática

    Reconoce mensajes HTTP sin procesar, comandos cURL y fragmentos fetch copiados desde Chrome DevTools a partir de la primera línea. También puedes elegir el formato manualmente.

  2. 02

    Solicitudes y respuestas

    Línea de solicitud, línea de estado, headers, parámetros de consulta y cookies se muestran en tablas. El body se presenta como JSON, formulario, XML o texto según Content-Type, con resaltado de sintaxis.

  3. 03

    Cookies desglosadas en detalle

    Cookie de solicitud y Set-Cookie se muestran por separado; Domain, Path, Expires, Max-Age, HttpOnly, Secure, SameSite y Partitioned se reconocen como atributos independientes.

  4. 04

    Más de treinta formatos de cliente

    cURL, HTTPie, wget, fetch, axios, got, ky, Python requests, Go, Rust, PHP Guzzle, Java OkHttp y otros formatos salen listos para documentación, scripts de migración o pruebas de regresión.

  5. 05

    Avisos neutrales de seguridad y formato

    Indica si faltan HSTS, Content-Security-Policy o X-Content-Type-Options, si una cookie carece de Secure o HttpOnly, o si un prefijo __Host- no cumple sus reglas. La herramienta señala, no dicta conclusiones.

  6. 06

    Todo dentro del navegador

    Detección, análisis y conversión se ejecutan en esta página. Ninguna solicitud de red lleva tus mensajes o cookies fuera del navegador.

Cómo usarla

Un solo cuadro de entrada cubre detección, análisis y exportación, sin aprender paneles extra.

  1. 01

    Pega un mensaje HTTP sin procesar, un comando cURL o un fragmento fetch de DevTools en la zona de entrada izquierda.

  2. 02

    El formato se detecta automáticamente. Si la detección falla, cambia manualmente a HTTP original, cURL o fetch desde la barra superior.

  3. 03

    En el resumen derecho confirma método, estado, host y tamaño del body; después despliega headers, query, cookies y avisos.

  4. 04

    Cambia a la vista Body para leer el contenido de la solicitud o respuesta; JSON y formularios permiten alternar entre versión formateada y original.

  5. 05

    Si necesitas esta llamada en otro lenguaje, abre la vista Exportar, elige un destino en el selector y copia el resultado a tu editor.

Detalles

Capturar tráfico, reproducir una solicitud y preparar documentación quedan en el mismo espacio de trabajo sin estorbarse.

  • HTTP original separa headers y body por la línea en blanco, y distingue solicitud o respuesta por el patrón de la primera línea.
  • El análisis de cURL recupera método, URL, headers, cookies, body y flags habituales.
  • El análisis de fetch sigue la forma Copy as fetch de DevTools y extrae URL, method, headers y body.
  • Los body JSON se formatean automáticamente y ofrecen alternancia entre original y formateado para copiar de vuelta.
  • El módulo de cookies comprueba SameSite=None con Secure y las restricciones de prefijos __Host- y __Secure-.
  • Las comprobaciones de respuesta cubren HSTS, Content-Security-Policy, X-Content-Type-Options y Referrer-Policy.

Casos de uso

Varios trabajos diarios con HTTP quedan con menos copia manual y menos riesgo de omitir campos.

  1. Pasar una solicitud real a un script local

    Copia cURL o fetch desde DevTools, conviértelo en Python requests, Go o Java OkHttp y úsalo como punto de partida para automatización o pruebas de regresión.

  2. Diagnosticar una llamada de API anómala

    Pega un mensaje original exportado desde un proxy y revisa headers, estado, Set-Cookie y body para localizar dónde difieren cliente y backend.

  3. Revisar cabeceras de seguridad

    Comprueba si HSTS, CSP y X-Content-Type-Options están presentes frente a una línea base, y decide si hace falta una evaluación de seguridad más detallada.

  4. Mantener documentación API en varios lenguajes

    Una solicitud de ejemplo puede salir como cURL, HTTPie, fetch, axios, Python, Go y otros formatos, evitando mantener cada variante a mano.

  5. Reproducir o editar un flujo de cookies

    Descompón una cabecera Cookie, ajusta Domain, Path o SameSite, y vuelve a montarla para pegarla en el navegador o en un script al reproducir el problema.

  6. Dejar una muestra limpia al equipo

    Convierte tráfico real en un archivo .http ordenado o en un cURL único para que frontend, backend, QA y SRE partan del mismo ejemplo.

Ver también

En la misma captura suele aparecer un User-Agent difícil de leer; abre Analizador de User-Agent para separar navegador, sistema operativo, dispositivo y señales de bots. Si los parámetros están doblemente codificados o la cadena de redirecciones es larga, Herramientas de URL descompone cada parte de la URL y elimina parámetros de seguimiento. Cuando una cabecera Authorization o una Cookie contiene un JWT, Inspector de JWT decodifica la carga útil y verifica la firma para no confiar en contenido sin validar.

Buenas prácticas

Los mensajes son texto y la revisión visual suele omitir detalles. Deja que la vista estructurada haga la primera pasada y vuelve al original para confirmar.

  • Al copiar cURL, conserva el formato multilínea siempre que puedas; los límites de cada flag se recuperan con más estabilidad.
  • Antes de compartir o capturar pantalla, enmascara Cookie, Authorization y otros campos sensibles dentro de la vista estructurada.
  • Para comparar dos respuestas, formatea primero el Body y pásalo después a una herramienta de diferencias JSON; así evitas ruido por espacios o orden de claves.
  • Los avisos de cabeceras de respuesta son señales de línea base, no un veredicto. Los activos críticos necesitan una revisión de seguridad completa.
  • No dejes cookies ni tokens de producción durante mucho tiempo en ninguna herramienta en línea, incluida esta página. Limpia la entrada al terminar.
  • Tras exportar código, cambia dominios de ejemplo y tokens de marcador por variables del entorno real antes de compartir o hacer commit.

Limitaciones

Saber qué no hace la herramienta evita usarla como proxy de captura o como escáner de seguridad.

  • No realiza solicitudes de red; solo analiza el texto que pegas, por lo que no puede capturar ni repetir tráfico directamente.
  • El handshake TLS y las tramas de HTTP/2 o HTTP/3 quedan fuera del alcance. La entrada debe ser un mensaje legible.
  • Los body comprimidos con gzip, brotli u otros formatos no se descomprimen automáticamente; descomprímelos primero en tu proxy.
  • Las comprobaciones de cabeceras de respuesta son avisos de línea base, no sustituyen una auditoría de seguridad ni una prueba de penetración.
  • El análisis de fetch sigue la forma estándar de DevTools. Código escrito a mano o muy envuelto puede no reconocerse por completo.

Preguntas frecuentes

Preguntas frecuentes sobre detección de formato, tratamiento de cookies, precisión de exportación y dónde quedan los datos.

¿Tengo que cambiar de formato antes de pegar?

No. El modo automático mira la primera línea y decide entre cURL, fetch y HTTP original. Si se equivoca, cambia manualmente desde la barra superior.

¿Qué necesita incluir un mensaje HTTP original?

Una solicitud necesita al menos una línea de solicitud, por ejemplo GET /path HTTP/1.1, y una cabecera Host. Una respuesta necesita una línea de estado, por ejemplo HTTP/1.1 200 OK. Headers y body se separan con una línea en blanco.

¿El código fetch o axios exportado se puede ejecutar tal cual?

La exportación conserva método, URL, headers y body, así que es un buen punto de partida. Antes de llevarlo al proyecto, ajusta autenticación, manejo de errores y variables de entorno según tus normas.

¿Cómo se manejan los Set-Cookie de una respuesta?

Cada línea se separa en nombre, valor y atributos. Los problemas comunes aparecen como avisos, por ejemplo SameSite=None sin Secure o prefijos __Host- que no cumplen Path=/ y ausencia de Domain.

¿Se suben los datos que pego?

No. Detección, análisis y conversión se completan en el navegador. Ninguna solicitud de red saca tus mensajes o cookies de esta página.

¿Por qué la exportación cURL queda vacía en modo respuesta?

cURL, fetch y axios describen solicitudes. Una respuesta no contiene suficiente información para reconstruir la línea de solicitud, así que en respuestas solo está disponible la exportación como HTTP original.

Herramientas relacionadas

Sigue con tareas de red y navegador: analiza un User-Agent, limpia una URL o decodifica el JWT de una cabecera Authorization.