Les en-têtes de sécurité HTTP

Les en-têtes de sécurité HTTP les plus pertinents et comment les utiliser :

• X-Frame-Options

• X-Content-Type-Options

• Referrer-Policy

• Strict-Transport-Security

 • X-XSS-Protection

• Content-Security-Policy

X-Frame-Options

 L'en-tête X-Frame-Options est utilisé pour indiquer si un navigateur doit être autorisé à afficher une page dans une balise iframe ou object. Les sites peuvent l'utiliser pour éviter le détournement de clic en s'assurant que leur contenu n'est pas intégré dans d'autres sites. Note : La sécurité supplémentaire est fournie uniquement si l'utilisateur accédant au document utilise un navigateur qui prend en charge X-Frame-Options. Il existe deux options que vous pouvez utiliser avec X-Frame-Options :

• DENY - La page ne peut pas être affichée dans une frame, quelle que soit le site qui tente de le faire.

• SAMEORIGIN - La page ne peut être affichée que dans une frame ayant la même origine que la page elle-même.

Pour plus d'informations sur X-Frame-Options, veuillez consulter la documentation ici : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Frame-Options

X-Content-Type-Options

L'en-tête X-Content-Type-Options est un marqueur utilisé par le serveur pour indiquer que les types MIME dans les en-têtes Content-Type ne doivent pas être modifiés.

 C'est une façon de désactiver la détection automatique des types MIME ou de préciser que les types MIME sont configurés délibérément.

Il n'y a qu'une seule option avec X-Content-Type-Options, nosniff, qui bloque les requêtes si la destination de la requête est de type style et que le type MIME n'est pas text/css, ou de type script et que le type MIME n'est pas un type MIME JavaScript.

Pour plus d'informations sur X-Content-Type-Options, veuillez consulter la documentation ici : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Content-Type-Options

Referrer-Policy

L'en-tête Referrer-Policy contrôle la quantité d'informations de référence, qui est envoyée à l'aide de l'en-tête Referer, qui doit être incluse avec les requêtes. Les options que vous pouvez utiliser avec l'en-tête Referrer-Policy sont les suivantes :

• no-referrer - L'en-tête Referer sera complètement omis. Aucune information de référence n'est envoyée avec les requêtes.

• no-referrer-when-downgrade - Envoyer l'origine, le chemin et la chaîne de requête dans Referer lorsque le niveau de sécurité du protocole reste le même ou s'améliore. Cela inclut HTTP vers HTTP, HTTP vers HTTPS et HTTPS vers HTTPS, mais exclut HTTPS vers HTTP et HTTPS vers un fichier.

 • origin - Envoyer uniquement l'origine dans l'en-tête Referer.

• origin-when-cross-origin - Envoyer l'origine, le chemin et la chaîne de requête lors de l'exécution d'une requête du même origine au même niveau de protocole. Envoyer uniquement l'origine pour les requêtes provenant d'un autre origine et les requêtes vers des destinations moins sécurisées.

• same-origin - Envoyer l'origine, le chemin et la chaîne de requête pour les requêtes du même origine. Ne pas envoyer l'en-tête Referer pour les requêtes provenant d'un autre origine.

• strict-origin - Envoyer uniquement l'origine lorsque le niveau de sécurité du protocole reste le même (HTTPS vers HTTPS). Ne pas envoyer l'en-tête Referer vers des destinations moins sécurisées (HTTPS vers HTTP).

• strict-origin-when-cross-origin - C'est la valeur par défaut, cela enverra l'origine, le chemin et la chaîne de requête lors de l'exécution d'une requête du même origine. Pour les requêtes provenant d'un autre origine, il enverra uniquement l'origine lorsque le niveau de sécurité du protocole reste le même (HTTPS vers HTTPS). Ne pas envoyer l'en-tête Referer vers des destinations moins sécurisées (HTTPS vers HTTP).

 • unsafe-url - Envoyer l'origine, le chemin et la chaîne de requête lors de l'exécution de n'importe quelle requête, quelle que soit la sécurité. Remarque : Cette politique peut divulguer des informations potentiellement privées provenant d'URL de ressources HTTPS vers des origines non sécurisées. Considérez attentivement l'impact de ce paramètre.

Pour plus d'informations ainsi que des exemples de l'en-tête Referrer-Policy, veuillez consulter la documentation ici : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Referrer

Strict-Transport-Security

L'en-tête Strict-Transport-Security (souvent abrégé en HSTS) permet à un site web d'indiquer aux navigateurs qu'il ne peut être accédé qu'en utilisant HTTPS, au lieu de HTTP. Les options disponibles sont les suivantes :

• max-age= - Cela vous permet de définir le temps en secondes pendant lequel cette règle doit être mémorisée, indiquant ainsi que le site ne peut être accédé qu'en utilisant HTTPS.

• includeSubDomains - Il s'agit d'un paramètre facultatif et, s'il est appliqué, la règle s'appliquera à tous les sous-domaines du site.

Pour plus d'informations sur Strict-Transport-Security, veuillez consulter la documentation ici : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Strict-Transport-Security

X-XSS-Protection

 L'en-tête X-XSS-Protection est une fonctionnalité d'Internet Explorer, Chrome et Safari qui empêche le chargement des pages lorsqu'elles détectent des attaques de script intersite réfléchi (XSS). Bien que ces protections soient largement inutiles dans les navigateurs modernes avec des sites qui ont mis en œuvre une politique de sécurité du contenu solide qui désactive l'utilisation de JavaScript en ligne ('unsafe-inline'), elles peuvent encore offrir des protections aux utilisateurs de navigateurs plus anciens qui ne prennent pas encore en charge la politique de sécurité du contenu.

• 0 - Désactive le filtrage XSS.

• 1 - Active le filtrage XSS. Si une attaque de script intersite est détectée, le navigateur nettoiera la page.

• 1; mode=block - Active le filtrage XSS. Au lieu de nettoyer la page, le navigateur empêchera le rendu de la page en cas de détection d'une attaque.

• 1; report= (uniquement sur Chromium) - Active le filtrage XSS. Si une attaque de script intersite est détectée, le navigateur nettoiera la page et signalera la violation. Cela utilise la fonctionnalité de la directive report-uri de CSP pour envoyer un rapport.

Pour plus d'informations sur X-XSS-Protection, veuillez consulter la documentation ici : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-XSS-Protection

Content-Security-Policy

 L'en-tête de réponse Content-Security-Policy permet aux administrateurs de sites web de contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. À quelques exceptions près, les politiques consistent principalement à spécifier les origines du serveur et les points d'extrémité des scripts. Cela aide à se protéger contre les attaques de script intersite.

 Pour la liste complète des directives et options, veuillez consulter la documentation ici : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Content-Security-Policy

  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Related Articles

Conditions pour résiliation contrat

Cet article est à titre informatif à nos chers client, afin de vous clarifier que parmi nos...

Comment optimiser le temps de chargement d’un site web ?

L'un des critère qui influence le référencement naturel du site web est la vitesse de chargement...

Comment vider le cache de votre navigateur ?

1. En haut à droite de la fenêtre, cliquez sur l'icône des trois points verticaux de la fenêtre...

Comment puis-je effectuer la migration d'un site ?

  Voici les étapes à suivre pour effectuer la migration d'un site : Sauvegardez tous les...

migration vers nos nouveaux hébergement

Nous tenons à vous informer que tous nos clients ont été migrés de notre ancienne plateforme vers...