En-têtes HTTP sécurisés: guide concis
Ces en-têtes renforcent votre site contre les attaques courantes. Appliquez-les partout (y compris erreurs, ressources et redirections).
En-têtes essentiels
- HSTS: imposer HTTPS pour le domaine et les sous-domaines, envisager le preload.
- CSP: bloquer le code inline, autoriser les scripts via nonces/hachages, isoler les contenus tiers, définir frame-ancestors.
- X-Content-Type-Options: nosniff pour éviter le MIME sniffing.
- Referrer-Policy: limiter les informations de référent (p. ex. strict-origin-when-cross-origin).
- Permissions-Policy: désactiver explicitement les fonctions inutilisées (caméra, micro, géolocalisation, etc.).
Déploiement
- Commencez par Report-Only pour CSP afin de collecter les violations.
- Servez les en-têtes sur toutes les routes (HTML, API, statiques).
- Testez avec plusieurs navigateurs/outils et surveillez les rapports.
En bref
Configurer les en-têtes essentiels: HSTS, CSP, X-Content-Type-Options, Referrer-Policy et Permissions-Policy.
Checklist 5 minutes
Strict-Transport-Security: max-age=31536000, includeSubDomains, preloadContent-Security-Policy: default-src 'self', …X-Content-Type-Options: nosniffReferrer-Policy: strict-origin-when-cross-originPermissions-Policy: camera=(), microphone=(), geolocation=()
Ressources