Chaque site web communique avec les navigateurs via des en-têtes HTTP. Parmi eux, les en-têtes de sécurité sont essentiels pour protéger vos visiteurs contre les attaques courantes.
Pourquoi les en-têtes de sécurité sont importants
Sans en-têtes de sécurité, votre site est vulnérable au clickjacking, au cross-site scripting (XSS), au sniffing MIME et aux attaques de downgrade de protocole.
Strict-Transport-Security (HSTS)
Le header HSTS force les navigateurs à toujours utiliser HTTPS :
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Pourquoi c'est critique : Sans HSTS, un attaquant peut intercepter la connexion HTTP initiale.
Content-Security-Policy (CSP)
Le CSP contrôle quelles ressources le navigateur peut charger :
Content-Security-Policy: default-src 'self'; script-src 'self' https:
Impact : Le CSP prévient les attaques XSS en restreignant les sources de scripts autorisées.
X-Frame-Options
Empêche votre site d'être embarqué dans une iframe :
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options
Empêche le sniffing MIME :
X-Content-Type-Options: nosniff
Referrer-Policy
Contrôle les informations de referrer partagées :
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
Restreint les fonctionnalités du navigateur :
Permissions-Policy: camera=(), microphone=(), geolocation=()
Comment vérifier vos en-têtes
Utilisez WMSS pour analyser automatiquement vos en-têtes de sécurité. Notre audit vérifie les 6 en-têtes critiques et fournit des étapes de remédiation.
Conclusion
Implémenter ces en-têtes prend quelques minutes mais améliore significativement la sécurité de votre site.