En‑têtes HTTP sécurisés : guide concis

En‑têtes HTTP sécurisés : guide concis

Ces en‑têtes renforcent votre site contre les attaques courantes. Appliquez‑les partout (y compris erreurs, ressources et redirections).

En‑têtes essentiels

• HSTS : imposer HTTPS pour le domaine et les sous‑domaines ; envisager le preload.
• CSP : bloquer le code inline ; autoriser les scripts via nonces/hachages ; isoler les contenus tiers ; définir frame-ancestors.
• X‑Content‑Type‑Options : nosniff pour éviter le MIME sniffing.
• Referrer‑Policy : limiter les informations de référent (p. ex. strict-origin-when-cross-origin).
• Permissions‑Policy : désactiver explicitement les fonctions inutilisées (caméra, micro, géolocalisation, etc.).

Déploiement

• Commencez par Report‑Only pour CSP afin de collecter les violations.
• Servez les en‑têtes sur toutes les routes (HTML, API, statiques).
• Testez avec plusieurs navigateurs/outils et surveillez les rapports.