Geeek - Le blog Geek & High-tech
Sécurité informatique

Securityheaders.io : Testez la sécurité des entêtes HTTP de votre site

par Ludovic Toinel 2 minutes de lecture

Je vous avais précédemment présenté une manière de valider facilement la sécurité du SSL de votre site via SSL Labs, voici Securityheaders.io, un autre outil en ligne complémentaire permettant de valider le bon usage des entêtes HTTP afin de garantir la sécurité de votre site.
L'outil est libre d'utilisation, sans pub et s'inspire fortement du mécanisme de notation de SSL Labs de Qualys.

Il offre une note entre A+ et R en fonction du respect de l'usage des entêtes liésà la sécurité de la norme HTTP.
Sur les 5 millions de sites scannés, l'outil n'a attribué que 182 671 A+, autant dire que la note suprême A+ n'est pas simple à atteindre.

Au-delà de la mise en oeuvre du HTTPS sur votre site, les entêtes HTTP les plus simples à positionner sont les 5 suivantes :

  • Strict-Transport-Security
  • X-Frame-Options
  • X-Content-Type-Options
  • X-XSS-Protection
  • Referrer Policy

Voici un exemple de configuration pour NGinx :


add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "no-referrer-when-downgrade";

On retrouve généralement ces paramètres sur la majorité des tutoriaux en ligne détaillant la mise en place de l'HTTPS sur un serveur Web.

Les entêtes liés au Content-Security-Policy et au Public-Key-Pins, recommandés par Securityheaders.io, sont les plus complexes à configurer ...

D'une part parce que les CSP nécessitent une excellente maîtrise des ressources embarquées sur les pages de votre site, vous devrez méticuleusement détailler tous les domaines Internet qui seront autorisés à intégrer du contenu sur votre site.

Enfin parce que le "public key pinning", qui permet de se protéger d'attaques via l'utilisation certificats frauduleux émis par des autorités de certification compromises, nécessite de bonnes compétences techniques afin de ne pas bloquer le trafic sur votre site. D'autant plus si vous utilisez des certificats Letsencrypt qui sont renouvelés tous les 3 mois ...

Si vous souhaitez vérifier dès maintenant la sécurité de votre site, l'outil est disponible en ligne à cette adresse : Securityheaders.io

Lire d'autres articles de cet auteur

Ludovic Toinel

Passionné par le Web, le développement, la photo, les drones, la domotique et les nouvelles technologies, Geeek est un blog 100% personnel. Venez découvrir les origines de ce blog.

discord geeek
Le lien a été copié !
Vous êtes correctement abonné à Geeek
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site