¿Qué significa el código de estado HTTP 521?

521 es un código de Cloudflare con el significado «Web Server Is Down» — Cloudflare no pudo alcanzar el servidor de origen en absoluto. El código no figura en el RFC 9110 ni en MDN. Causas habituales: el origen está fuera de línea, el cortafuegos bloquea los rangos de IP de Cloudflare o el puerto de escucha es incorrecto. Solución: compruebe el estado del origen, añada la lista de IPs de Cloudflare a la lista de permitidos y revise el modo SSL/TLS en el panel de Cloudflare. Si los 521 son intermitentes, conviene consultar directamente la página de diagnóstico de Cloudflare.

¿Cuál es la diferencia entre 401 y 403?

401 significa: credenciales ausentes o no válidas. 403 significa: las credenciales son correctas, pero el acceso se deniega igualmente. En un 401 ayuda iniciar sesión de nuevo con credenciales válidas; el servidor incluso devuelve una cabecera WWW-Authenticate que describe el método de autenticación esperado. En un 403 el login no sirve de nada — el usuario está identificado y simplemente no está autorizado para ese recurso. En la práctica: 401 para endpoints de API sin token Bearer, 403 para endpoints de API con token válido pero rol incorrecto. Más en [RFC 9110 §15.5.2](https://www.rfc-editor.org/rfc/rfc9110#name-401-unauthorized) y [§15.5.4](https://www.rfc-editor.org/rfc/rfc9110#name-403-forbidden).

¿Cuándo se usa 301, 302, 307 o 308 para redirecciones?

Para redirecciones permanentes, 308 es la opción moderna; para las temporales, 307. La diferencia frente a los más antiguos 301 y 302: 307 y 308 conservan el método HTTP, mientras que 301 y 302 históricamente degradan POST a GET. La permanencia condiciona el comportamiento SEO — los buscadores transfieren las señales de ranking con 301 y 308. En la práctica: para `/blog/old-post` → `/blog/new-post` lo correcto es 308. En un router de pruebas A/B con formularios POST, 307 es más seguro que 302. [RFC 9110 §15.4](https://www.rfc-editor.org/rfc/rfc9110#name-redirection-3xx) explica los cuatro.

¿Qué significa el estado HTTP 499?

499 es un código interno de nginx, definido en el código fuente de nginx y no en ningún RFC. Significado: el cliente cerró la conexión antes de que el servidor terminara de enviar la respuesta. Causa frecuente: una aplicación móvil en la que el usuario navega a otra pantalla mientras hay una conexión de long-polling abierta. En el registro de acceso de nginx aparece 499; en Wireshark se ve el FIN/RST del lado del cliente. Si abundan los 499, conviene revisar `proxy_ignore_client_abort` o el timeout del servicio upstream. 499 vs 444: 444 es un cierre del lado del servidor; 499, del lado del cliente.

¿Cuál es la diferencia entre 502, 503 y 504?

502 significa: la pasarela recibió una respuesta no válida del upstream. 503 significa: el propio servidor está sobrecargado o en mantenimiento. 504 significa: la pasarela no recibió ninguna respuesta del upstream dentro del timeout. En un 502 conviene inspeccionar el registro del origen (caída, reinicio de worker). 503 suele acompañarse de una cabecera Retry-After — es decir, «vuelva más tarde». 504 indica que la respuesta del origen tarda más que el timeout de la pasarela (normalmente 60-100 s) — toca acelerar la respuesta o ampliar el timeout. RFC 9110 [§15.6.3-§15.6.5](https://www.rfc-editor.org/rfc/rfc9110#name-server-error-5xx) recoge las definiciones originales.

¿Qué códigos de estado devuelve habitualmente un POST?

En un POST con éxito: 200 (éxito genérico con cuerpo de respuesta), 201 (recurso creado, con cabecera Location), 202 (encolado para procesamiento asíncrono), 204 (éxito sin cuerpo) o 303 (patrón Post-Redirect-Get, redirige a GET). En errores de validación: 400 (sintaxis rota), 422 (sintaxis correcta, regla de negocio violada), 409 (conflicto con el estado actual del recurso). En errores de autenticación: 401 o 403. La herramienta de arriba ofrece una referencia cruzada por método — pulse «POST» y verá todos los códigos relevantes.

¿Qué RFC define los códigos de estado HTTP en 2026?

El RFC 9110 es la especificación vigente de la semántica HTTP desde junio de 2022 y sustituye al antiguo RFC 7231. El RFC 9110 reúne en un único documento métodos, códigos de estado, cabeceras y autenticación. Los códigos especiales proceden de otros RFCs: 308 del [RFC 7538](https://www.rfc-editor.org/rfc/rfc7538), 425 Too Early del [RFC 8470](https://www.rfc-editor.org/rfc/rfc8470), 103 Early Hints del [RFC 8297](https://www.rfc-editor.org/rfc/rfc8297), 451 Unavailable For Legal Reasons del [RFC 7725](https://www.rfc-editor.org/rfc/rfc7725). Los códigos WebDAV (207, 422, 423, 424, 507) están en el [RFC 4918](https://www.rfc-editor.org/rfc/rfc4918). El [Registro de códigos de estado de IANA](https://www.iana.org/assignments/http-status-codes/http-status-codes.xhtml) es la lista oficial.

¿Esta herramienta envía mi búsqueda a un servidor?

No. La base de datos completa de códigos de estado está incrustada en el paquete del navegador — sin API, sin backend, sin registro. Puede comprobarlo usted mismo: abra F12, vaya a la pestaña «Red», escriba en la búsqueda y verá que no se generan peticiones más allá de la carga inicial de la página. La búsqueda de texto completo, los filtros por clase y la generación de snippets se ejecutan íntegramente como JavaScript en el cliente. No se establece ninguna cookie ni queda ninguna entrada en `localStorage`. El conmutador «solo códigos de plataforma» y el filtro por método HTTP también se procesan por completo en el cliente — el código de estado que consulta no sale de su navegador.

Códigos de estado HTTP — Cloudflare, nginx, snippets

¿Qué hace la herramienta de códigos de estado HTTP?

La herramienta es un catálogo de referencia consultable para códigos de estado HTTP. Cubre el RFC 9110 por completo — todos los códigos 1xx informativos, 2xx de éxito, 3xx de redirección, 4xx de error del cliente y 5xx de error del servidor — y añade los códigos específicos de plataforma que faltan en el registro de IANA pero que aparecen a diario en el registro de producción: Cloudflare 520-530, nginx 444 y 494-499, IIS 440 y 449, AWS Application Load Balancer 460/463 y CloudFront 561.

Para cada código la herramienta muestra: la frase de motivo canónica, una explicación técnica de dos a cuatro frases, los métodos HTTP habituales (POST tiende a devolver 201, GET tiende a devolver 200), el enlace a la especificación (RFC, documentación de Cloudflare, código fuente de nginx) y un enlace a la entrada de Wikipedia para contexto editorial.

¿Qué códigos de plataforma cubre la herramienta?

MDN documenta únicamente el estándar registrado por IANA. Las herramientas presentes en su pila de producción, sin embargo, emiten con regularidad códigos no estandarizados:

Cloudflare 520-527 y 530 — la familia completa «el edge no pudo alcanzar el origen». 521 (origen fuera de línea), 522 (timeout de conexión), 523 (error de DNS del origen), 524 (respuesta del origen > 100 s), 525 y 526 (problemas SSL del origen), 527 (error de Railgun), 530 (envoltorio para los errores de la serie 1xxx).
nginx 444 y 494-499 — códigos internos del código fuente de nginx: 444 (conexión cerrada en silencio), 494 (cabecera demasiado grande), 495 y 496 (problemas con el certificado del cliente), 497 (HTTP sobre un puerto HTTPS), 499 (el cliente cerró la conexión).
IIS 440 y 449 — códigos específicos de Microsoft: 440 (timeout de inicio de sesión), 449 (Retry-With).
AWS Application Load Balancer 460/463 y CloudFront 561 — códigos de edge de proveedores cloud para timeout de cliente, cadena X-Forwarded-For sobredimensionada y fallo de autenticación de Lambda@Edge.

El filtro «solo códigos de plataforma» oculta el estándar RFC y muestra únicamente este mundo — útil cuando consulta un incidente 5xx concreto en el panel de Cloudflare.

¿Qué son las tarjetas de confusión?

Cuatro parejas de códigos son las más confundidas en 2026 — la herramienta muestra automáticamente una tarjeta comparativa en cuanto selecciona uno de los códigos:

401 vs 403 — autenticación (sin login) vs autorización (login realizado, pero sin permiso).
301 vs 302 vs 307 vs 308 — permanencia × conservación del método, presentadas como tabla de verdad. 308 = permanente + conservación del método, la opción moderna.
400 vs 422 — error de la capa HTTP (sintaxis, framing) vs error de regla de negocio (validación, conflicto). Use 422 cuando el JSON es sintácticamente correcto pero el campo de correo electrónico no es válido.
502 vs 503 vs 504 — upstream defectuoso vs origen sobrecargado vs upstream silencioso. Los tres errores de pasarela se parecen pero tienen diagnósticos de causa raíz distintos.

Cada grupo incluye un resumen de una o dos frases y botones hacia los códigos vecinos — acceso directo sin cambio de URL.

¿Cómo funciona el filtro por método HTTP?

Cada código de la base de datos lleva asociada una lista de «métodos HTTP típicos que generan este código». El filtro «método HTTP» reduce la lista a un único método: pulse «POST» y verá únicamente los códigos que tienen sentido tras un POST — 200, 201, 202, 204, 303, 307, 400, 409, 422, 429, 500. Pulse «GET» y verá los códigos típicos de GET — 200, 206, 301, 304, 404, 410.

Es la vista inversa de la tarjeta de detalle: allí cada código dice «estos métodos me disparan»; el filtro dice «este método me devuelve los siguientes códigos».

¿Qué lenguajes de snippet admite la exportación?

Seis lenguajes destino, todos generados en el cliente:

Enum de TypeScript — export enum HttpStatus { NOT_FOUND = 404, … } con comentarios JSDoc.
Dict de Python — HTTP_STATUS_CODES = { 404: "Not Found", … } como mapa de búsqueda.
Bloque const de Go — const ( StatusNot_Found = 404 … ) en estilo idiomático de Go.
Enum de Rust — #[repr(u16)] pub enum HttpStatus { Not_Found = 404, … } con representación u16.
Record de Java — public record HttpStatus(int code, String name) más constantes static final.
Módulo de Ruby — module HttpStatus NOT_FOUND = 404 … end como contenedor de constantes.

Por defecto la exportación emite todos los códigos — estándar más códigos de plataforma. Puede acotar la selección con el conmutador «solo estándar RFC»; entonces el mundo de plataforma deja de aparecer en el código generado. Ambos snippets están comentados con limpieza y pueden incorporarse directamente a una base de código — sin tests, sin dependencias, sin avisos del compilador.

¿Por qué la búsqueda se ejecuta en el cliente sin tracking?

Esta herramienta no envía ninguna petición a un servidor. La base de datos completa de códigos de estado está incrustada en el paquete JavaScript, la búsqueda corre con String.prototype.toLowerCase e includes, y la generación de snippets mediante template strings. Sin llamadas a API, sin telemetría, sin cookies, sin localStorage.

Más detalles en la OWASP Logging Cheat Sheet sobre lo que una búsqueda en una herramienta revela en realidad — y por qué, en consultas con implicaciones de seguridad (investigación de códigos de estado durante un incidente), importa que la búsqueda no acabe en el registro de un tercero. El Registro de códigos de estado HTTP de IANA es la fuente canónica para los códigos registrados por IANA; todo lo demás procede directamente de la documentación de las plataformas (errores 5xx de Cloudflare, procesamiento de solicitudes HTTP en nginx, códigos de estado HTTP de Microsoft IIS).

Códigos de estado HTTP — Cloudflare, nginx, snippets

Cómo funciona

Text oder Code einfügen

Automatische Verarbeitung

Ergebnis kopieren

Privacidad

¿Cómo usar esta herramienta?