Référence des En-têtes de Sécurité HTTP
Référence et vérificateur des en-têtes de sécurité HTTP — CSP, HSTS, X-Frame-Options, CORS et plus.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Valeur Recommandée: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Risque de Sécurité Sans: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Valeur Recommandée: max-age=31536000; includeSubDomains; preload
Risque de Sécurité Sans: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Valeur Recommandée: DENY or SAMEORIGIN
Risque de Sécurité Sans: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Valeur Recommandée: nosniff
Risque de Sécurité Sans: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Valeur Recommandée: strict-origin-when-cross-origin
Risque de Sécurité Sans: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Valeur Recommandée: camera=(), microphone=(), geolocation=(self)
Risque de Sécurité Sans: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Valeur Recommandée: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Risque de Sécurité Sans: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Valeur Recommandée: GET, POST, PUT, DELETE (only what is needed)
Risque de Sécurité Sans: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Valeur Recommandée: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Risque de Sécurité Sans: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Valeur Recommandée: same-origin or same-site
Risque de Sécurité Sans: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Valeur Recommandée: same-origin
Risque de Sécurité Sans: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Valeur Recommandée: 1; mode=block (legacy) or omit in favor of CSP
Risque de Sécurité Sans: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Vérificateur d'En-têtes
Collez vos en-têtes de réponse HTTP pour vérifier
À propos de cet outil
Les en-têtes de sécurité HTTP sont des en-têtes de réponse spécialisés qui indiquent aux navigateurs web comment se protéger contre les vulnérabilités web courantes. Contrairement aux en-têtes HTTP généraux qui contrôlent la mise en cache ou la livraison de contenu, les en-têtes de sécurité créent un périmètre défensif autour de votre application web en prévenant les attaques telles que le cross-site scripting (XSS), le clickjacking, l'exploitation de types MIME et le vol de données entre origines.
Cet outil fournit à la fois une référence complète pour tous les en-têtes de sécurité majeurs et un vérificateur interactif qui analyse votre posture de sécurité actuelle. Collez vos en-têtes de réponse HTTP ou entrez un domaine, et voyez instantanément quels en-têtes de sécurité sont présents, lesquels manquent et comment votre configuration se compare aux meilleures pratiques de l'industrie.
Les développeurs web, les ingénieurs DevOps et les équipes de sécurité utilisent cette référence pour renforcer leurs déploiements sans modifications de code. La plupart des en-têtes de sécurité sont configurés purement via la configuration du serveur, les règles de proxy inverse ou les plugins de framework d'application — ce qui en fait l'une des victoires les plus rapides pour améliorer la résilience de votre site face aux menaces modernes.
Questions Fréquentes
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.