Analyseur d'en-têtes de sécurité
Évaluez la sécurité de votre site web grâce à notre analyseur d'en-têtes de sécurité. Cet outil vous permet de vérifier la présence et la configuration des en-têtes de sécurité essentiels, tels que Content Security Policy, X-Content-Type-Options et bien d'autres. Assurez-vous que votre site est protégé contre les attaques courantes et améliorez la confiance des utilisateurs en analysant rapidement les en-têtes de réponse HTTP.
Référence technique des en-têtes de sécurité
Informations détaillées sur chaque en-tête de sécurité et son importance :
Un en-tête de sécurité puissant qui aide à prévenir les attaques de type Cross-Site Scripting (XSS) et autres attaques par injection de code. Il vous permet de spécifier quelles ressources (scripts, styles, images, etc.) sont autorisées à être chargées par le navigateur.
default-src 'self'; script-src 'self' https://trusted.com;Commencez par une politique stricte et détendez-la progressivement si nécessaire. Incluez toujours la directive default-src.
Force les navigateurs à utiliser HTTPS au lieu de HTTP pour toutes les requêtes futures vers votre domaine. Cela aide à prévenir les attaques de rétrogradation de protocole et le détournement de cookies.
max-age=31536000; includeSubDomains; preloadUtilisez un max-age long (au moins 1 an) et incluez les sous-domaines si applicable.
Empêche votre site web d'être intégré dans des iframes sur d'autres sites, protégeant contre les attaques de clickjacking.
SAMEORIGINUtilisez DENY pour empêcher complètement le cadrage, ou SAMEORIGIN pour autoriser le cadrage uniquement depuis votre propre domaine.
Active le filtrage XSS intégré du navigateur. Bien que les navigateurs modernes s'éloignent de cet en-tête, il offre une protection supplémentaire pour les anciens navigateurs.
1; mode=blockUtilisez "1; mode=block" pour activer la protection et bloquer la page si une attaque est détectée.
Empêche les navigateurs de renifler un type de contenu différent de celui déclaré, réduisant l'exposition aux attaques de téléchargement à la volée.
nosniffDéfinissez toujours sur "nosniff" pour empêcher le reniflement de type MIME.
Contrôle la quantité d'informations de référent à inclure avec les requêtes. Cela aide à protéger la vie privée des utilisateurs en contrôlant quelles informations sont envoyées à d'autres sites.
strict-origin-when-cross-originUtilisez "strict-origin-when-cross-origin" pour un bon équilibre entre sécurité et fonctionnalité.
Contrôle quelles fonctionnalités et API du navigateur peuvent être utilisées sur votre site web. Cela aide à prévenir l'abus des fonctionnalités sensibles du navigateur.
geolocation=(), microphone=(), camera=()Désactivez les fonctionnalités dont vous n'avez pas besoin et contrôlez soigneusement l'accès aux fonctionnalités sensibles.
Permet aux sites web de spécifier quelles autorités de certification doivent être dignes de confiance pour votre domaine. Cela aide à prévenir les attaques de l'homme du milieu.
pin-sha256="base64=="; max-age=5184000Incluez au moins deux épingles et un plan de secours. Remarque : cet en-tête est en cours de dépréciation au profit de la transparence des certificats.
Caractéristiques clés
- Analyse complète des en-têtes de sécurité
- Vérification des en-têtes en temps réel
- Recommandations détaillées pour chaque en-tête
- Support pour tous les principaux en-têtes de sécurité
- Indicateurs de statut faciles à comprendre
Cas d'utilisation courants
- Audits de sécurité de site web
- Vérification de la conformité de sécurité
- Tests de développement web
- Mise en œuvre de politiques de sécurité
- Surveillance régulière de la sécurité
Comment utiliser
- Entrez l'URL du site web que vous souhaitez vérifier
- Cliquez sur le bouton "Vérifier les en-têtes"
- Attendez que l'analyse soit terminée
- Examinez les résultats et les recommandations
- Mettez en œuvre les améliorations de sécurité suggérées