Les en-têtes de sécurité HTTP que vous devriez avoir

Votre serveur web peut envoyer des en-têtes qui indiquent au navigateur comment se comporter de manière sécurisée. Ils sont gratuits et vous les configurez une seule fois.

L'essentiel

• Strict-Transport-Security (HSTS) : force toujours le HTTPS.
• Content-Security-Policy (CSP) : contrôle d'où se chargent les scripts, les styles, etc. C'est le plus puissant contre le XSS (et le plus difficile à ajuster finement).
• X-Content-Type-Options: nosniff : empêche le navigateur de « deviner » les types de fichiers.
• Referrer-Policy : limite les informations d'origine divulguées pendant la navigation.
• X-Frame-Options / CSP frame-ancestors : empêche que votre site soit intégré dans une iframe (clickjacking).

Comment le vérifier

Des outils comme securityheaders.com vous donnent une note rapide. Pour auditer le TLS, SSL Labs. Commencez par HSTS et nosniff (faciles) et gardez la CSP pour quand vous pourrez la tester sans casser le site.

Aucun en-tête ne remplace un code sécurisé, mais ils constituent une couche peu coûteuse qui vaut la peine.