Passer au contenu
HTTP Security Headers

HTTP Security Headers

Le meilleur site web rend la connexion https encore plus sûre grâce aux en-têtes de sécurité HTTP. Votre site web utilise-t-il des en-têtes de sécurité HTTP pour une sécurité supplémentaire ? Votre site web utilise-t-il des en-têtes de sécurité HTTP pour communiquer au navigateur du visiteur quelles mesures de sécurité ont été prises ?

HTTP security headers

Le visiteur consulte votre site web par le biais d'un navigateur. Votre serveur web communique les pages HTML au navigateur. Votre serveur web ou votre site web peut également envoyer des en-têtes de sécurité HTTP pour informer le navigateur sur la sécurité HTTP. Que peut attendre un navigateur du site web et du serveur ? 

Testez les en-têtes de sécurité HTTP qui sont envoyés avec les en-têtes de réponse HTTP de votre site web via les en-têtes de sécurité. Il existe différentes mesures de sécurité qui peuvent être mises en œuvre via les en-têtes de sécurité HTTP :  

X Content Type Options

Un navigateur peut interpréter le type de fichier d'un fichier en fonction de son contenu. Avec "X-Content-Type-Options : nosniff", le serveur force le navigateur à ne pas déterminer le type de contenu via MIME. Cela empêche les fichiers texte et les images d'être exécutés en HTML/JavaScript.

X-Content-Type-Options: nosniff

Referrer Policy

Lorsqu'un visiteur de votre site web clique sur un hyperlien vers un autre site, le navigateur communique via le "referrer" dans l'en-tête HTTP vers le nouveau site d'où vous venez. Un site web peut alors utiliser les statistiques du serveur web pour savoir d'où viennent ses visiteurs. Si votre site web fonctionne en https et que le lien renvoie à un site web en http, il s'agit d'un "déclassement" de la connexion pour le visiteur. Pour protéger la vie privée de vos visiteurs, vous pouvez désactiver le référent.

Referrer Policy: no-referrer-when-downgrade

Feature Policy  

Feature Policy a été remplacée par Permissions Policy

Permissions Policy

Permissions Policy vous permet de déterminer les fonctions de navigation et les API que vous souhaitez activer ou désactiver. Vous connaissez les fenêtres contextuelles des sites web qui vous demandent votre position. Vous pouvez faire en sorte que votre site web communique au navigateur du visiteur que, par exemple, vous ne demandez pas de localisation (geolocation).

  • geolocation
  • midi
  • notifications
  • push
  • sync-xhr
  • microphone
  • camera
  • magnetometer
  • gyroscope
  • speaker
  • vibrate
  • fullscreen
  • payment

permissions-policy: camera=(); geolocation=(); microphone=(); payment=();

Content Security Policy (CSP)

Content Security Policy du contenu définit à partir de quelles sources approuvées le navigateur du visiteur est autorisé à charger des fichiers (feuilles de style CSS, bibliothèques JavaScript, polices). Pensez par exemple aux polices externes de Google, aux JavaScripts JQuery, etc.

Vous pouvez choisir de placer toutes les sources externes sur votre propre site, ou de déterminer par l'intermédiaire du CSP quelles sources externes vous acceptez. Il s'agit d'une contre-mesure efficace contre les attaques par Cross Site Scripting (XSS).

content-security-policy: frame-ancestors 'self'

HTTP Strict Transport Security (HSTS)

Grâce au protocole HTTP Strict Transport Security, vous faites en sorte que toutes les communications entre le visiteur et votre site web se fassent par l'intermédiaire d'une couche de transport sécurisée (https). Cela permet d'éviter une attaque de l'homme du milieu (MiTM). Par l'intermédiaire du STEH, votre site web communique au navigateur que votre site web fonctionnera par https les x jours suivants.

strict-transport-security: max-age=15768000

X Frame Options

Avec l'en-tête X-Frame-Options, vous protégez vos visiteurs contre les attaques de type "clickjacking". Lors d'une attaque de type "clickjack", un attaquant peut voler des informations CSS de votre navigateur web via une iframe. Il est possible d'éviter cela en définissant des options d'image X. Mais vous pouvez également contrôler cela via les "ancêtres de cadre" dans la Content Security Policy.

x-frame-options: SAMEORIGIN 

Retour à : Un site web sécurisé

HTTP Security Headers

Utilisez-vous des HTTP Security Headers pour rendre votre site Web encore plus sécurisé?