Skip to main content
CheckTown
Générateurs

HTTP Security Headers: Protect Your Website

Publié le 6 min de lecture
Dans cet article

Que sont les en-têtes de sécurité HTTP ?

Les en-têtes de sécurité HTTP sont des en-têtes de réponse qui indiquent aux navigateurs comment se comporter avec le contenu de votre site. Ils constituent une couche essentielle de défense en profondeur, protégeant contre les attaques courantes comme le XSS, le clickjacking et les attaques par rétrogradation de protocole.

Les en-têtes de sécurité font partie de la réponse HTTP envoyée par votre serveur. Leur implémentation ne coûte rien, ne nécessite aucun changement de code et protège tous les visiteurs. L'OWASP recommande leur implémentation sur chaque site de production.

Comment fonctionnent les en-têtes de sécurité HTTP

Chaque en-tête contrôle un aspect spécifique du comportement du navigateur, créant plusieurs couches de protection contre différents vecteurs d'attaque.

  • Content-Security-Policy (CSP) — définit les sources fiables pour les scripts, styles et images, prévenant le XSS en bloquant l'exécution de code non autorisé
  • Strict-Transport-Security (HSTS) — force les navigateurs à utiliser HTTPS pour toutes les requêtes futures, prévenant les attaques par rétrogradation
  • X-Frame-Options et X-Content-Type-Options — empêchent le clickjacking en bloquant l'intégration dans des iframes et stoppent le MIME-sniffing

Essayez gratuitement — sans inscription

Générer des en-têtes de sécurité →

Quand configurer les en-têtes de sécurité

Les en-têtes de sécurité doivent être configurés sur chaque site de production.

  • Prévention des attaques XSS — CSP est la défense navigateur la plus efficace contre les vulnérabilités de cross-site scripting
  • Application HTTPS — HSTS avec preload garantit une connexion HTTPS même lors de la première visite
  • Conformité réglementaire — PCI DSS, SOC 2 et HIPAA exigent ces en-têtes dans le cadre du durcissement des applications web

Foire aux questions

Qu'est-ce que le mode report-only de CSP ?

Content-Security-Policy-Report-Only envoie des rapports de violation à un endpoint spécifié sans bloquer les ressources. Cela permet de tester une nouvelle politique CSP en production sans casser votre site. Une fois les tests concluants, passez au mode d'application.

Comment fonctionne le preload HSTS ?

Le preload HSTS est une liste maintenue par les éditeurs de navigateurs qui impose l'accès HTTPS pour les domaines listés. Pour être éligible, servez un en-tête HSTS valide avec un max-age d'au moins un an, includeSubDomains et la directive preload.

Comment tester mes en-têtes de sécurité ?

Utilisez des outils comme securityheaders.com ou Mozilla Observatory pour scanner votre site. Vous pouvez aussi inspecter les en-têtes dans les DevTools du navigateur sous l'onglet Réseau.

Outils associés

CORS Headers Generator: Fix Cross-Origin ErrorsUnderstand CORS and generate the correct headers for your API.Lire l'article → .htaccess Generator: Apache Configuration Made EasyBuild .htaccess rules for redirects, caching, and security.Lire l'article → Comment générer des meta tags parfaits pour le SEOCréez des meta tags optimisés avec aperçu SERP et réseaux sociaux.Lire l'article →
Retour au Blog