En-têtes HTTP sécurisés : guide concis

En-têtes HTTP sécurisés : guide concis

Ces en-têtes renforcent votre site contre les attaques courantes. Appliquez-les partout (y compris erreurs, ressources et redirections).

En-têtes essentiels

• HSTS : imposer HTTPS pour le domaine et les sous-domaines, envisager le preload.
• CSP : bloquer le code inline, autoriser les scripts via nonces/hachages, isoler les contenus tiers, définir frame-ancestors.
• X-Content-Type-Options : nosniff pour éviter le MIME sniffing.
• Referrer-Policy : limiter les informations de référent (p. ex. strict-origin-when-cross-origin).
• Permissions-Policy : désactiver explicitement les fonctions inutilisées (caméra, micro, géolocalisation, etc.).

Déploiement

• Commencez par Report-Only pour CSP afin de collecter les violations.
• Servez les en-têtes sur toutes les routes (HTML, API, statiques).
• Testez avec plusieurs navigateurs/outils et surveillez les rapports.

TL;DR

Configurer les en‑têtes essentiels : HSTS, CSP, X‑Content‑Type‑Options, Referrer‑Policy et Permissions‑Policy.

Checklist 5 minutes

• Strict-Transport-Security: max-age=31536000, includeSubDomains, preload
• Content-Security-Policy: default-src 'self', ...
• X-Content-Type-Options: nosniff
• Referrer-Policy: strict-origin-when-cross-origin
• Permissions-Policy: camera=(), microphone=(), geolocation=()

Ressources

• securityheaders.com
• Mozilla Observatory