En-têtes de sécurité
Récupère une URL et évalue ses en-têtes de sécurité HTTP : HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Met en évidence les en-têtes manquants ou faibles avec des recommandations.
Questions fréquentes
- Quels en-têtes sont les plus importants ?
- HSTS force HTTPS, Content-Security-Policy bloque XSS, X-Frame-Options bloque le détournement de clic et X-Content-Type-Options bloque le reniflage de MIME. Manquer l’un de ces éléments est une vulnérabilité courante.
- Mon framework les définit-il automatiquement ?
- Généralement non. Express, Django et Rails nécessitent une configuration explicite. Utilisez un casque (Node), django-secure ou rack-protection. Cloudflare et Vercel proposent des bascules en un clic.
- Les en-têtes stricts peuvent-ils endommager mon site ?
- Oui. Un CSP trop strict bloque les scripts en ligne et les analyses tierces. Testez d’abord en mode rapport uniquement, corrigez les violations, puis appliquez-les.