La sécurité des sites web est un enjeu crucial. Un moyen efficace de renforcer la sécurité de votre site web est d’utiliser des headers HTTP spécifiques. Ces headers aident à protéger contre diverses attaques en informant le navigateur sur la manière de traiter certaines requêtes. Voici un aperçu des headers les plus importants et comment les implémenter.

Il est important de vérifier avec votre développeur avant d'implémenter ces headers car chaque site a des contraintes spécifiques.

Liste des headers

Strict-Transport-Security (HSTS)

Ce header force le navigateur à utiliser uniquement des connexions HTTPS sécurisées.

Exemple d'implémentation :

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

X-Content-Type-Options

Ce header empêche les navigateurs d’interpréter le type de fichier de manière erronée, réduisant ainsi les risques d’attaque de type *MIME sniffing*.

Exemple d'implémentation :

X-Content-Type-Options: nosniff

Content-Security-Policy (CSP)

Ce header aide à prévenir les attaques XSS (Cross-Site Scripting) en contrôlant les sources de contenu qui peuvent être chargées par le navigateur.

Exemple d'implémentation :

Content-Security-Policy: default-src 'self'; img-src *; child-src 'none';

Referrer-Policy

Ce header contrôle les informations de référence envoyées avec les requêtes HTTP, protégeant ainsi la vie privée des utilisateurs.

Exemple d'implémentation :

Referrer-Policy: no-referrer-when-downgrade

X-Frame-Options

Ce header prévient les attaques de type clickjacking en empêchant votre site d’être chargé dans un frame.

Exemple d'implémentation :

X-Frame-Options: SAMEORIGIN

Permissions-Policy

Ce header permet de contrôler les fonctionnalités du navigateur que votre site peut utiliser, comme la géolocalisation, la caméra, ou le microphone.

Exemple d'implémentation :

Permissions-Policy: geolocation=(), microphone=(), camera=()

Comment implémenter ces headers ?

Vous pouvez utiliser les plugins suivants pour vous aider à implémenter ces headers :

Vous pouvez aussi rajouter des directives dans votre fichier .htaccess, par exemple :

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src 'self'; img-src *; child-src 'none';"
Header set Referrer-Policy "no-referrer-when-downgrade"
Header set X-Frame-Options "SAMEORIGIN"
Header set Permissions-Policy "geolocation=(), microphone=(), camera=()"

Comment vérifier le niveau de sécurité de mon site ?

Le site Security Headers propose une analyse du niveau de sécurité de votre site.

 
 
 
 
 
 
Cette réponse était-elle pertinente? 1 Utilisateurs l'ont trouvée utile (1 Votes)