Client Hints (sec-ch-ua)
Los navegadores modernos (Chromium) envían un bloque de cabeceras sec-ch-ua-* que describen la marca, versión, plataforma.
Categoría: WAF Evasion 🎯 Trinchera — Los navegadores modernos (Chromium) envían un bloque de cabecerassec-ch-ua-* que describen la marca, versión,
plataforma. Si tu User-Agent dice Chrome 120 pero no envías
sec-ch-ua: "Chromium";v="120", el WAF detecta la asimetría.
🔗 Kill chain — Validación lateral del User-Agent. Es el
contrato que cierra el círculo de identidad del navegador.
📡 Huella defensiva — Cualquier WAF de tier 1 (Cloudflare,
Akamai, F5) cruza User-Agent ↔ Client Hints ↔ JA3.
⚠️ Falso amigo — Falsificar sólo el User-Agent y Accept-Language.
La mayoría de scripts hechos a mano olvidan los Client Hints, los
sec-fetch-* y el orden de las cabeceras.
🛡️ Remediación (ofensiva) — Usar navegadores reales o
herramientas que repliquen el ecosistema completo.
← Volver al glosario completo Última actualización: 2026-06-11