2026-07-14

En-têtes de sécurité HTTP : Référence complète

En-têtes de sécurité : Protéger votre site web avec les réponses HTTP

Les en-têtes de sécurité HTTP sont un moyen puissant de protéger votre site web contre les attaques courantes. Ce sont des instructions que votre serveur envoie au navigateur, lui indiquant comment se comporter. Quelques en-têtes bien choisis peuvent prévenir des catégories entières d'attaques sans aucune modification de votre code d'application.

Les en-têtes les plus importants

Content-Security-Policy (CSP) est l'en-tête de sécurité le plus puissant. Il indique au navigateur quelles sources sont autorisées à charger des scripts, styles, images et autres ressources. Si un attaquant parvient à injecter une balise de script pointant vers son serveur, CSP la bloque. CSP peut également empêcher les scripts en ligne, eval et autres motifs dangereux. C'est la défense la plus efficace contre les attaques de type cross-site scripting.

Strict-Transport-Security (HSTS) indique au navigateur d'utiliser toujours HTTPS lors de la connexion à votre site, même si l'utilisateur tape http:// ou clique sur un lien HTTP simple. Cela empêche les attaques de type homme du milieu où un attaquant intercepte la requête HTTP initiale et redirige l'utilisateur vers un site factice.

X-Frame-Options empêche l'intégration de votre site dans une iframe sur un autre domaine. Cela protège contre les attaques de clickjacking, où un attaquant amène les utilisateurs à cliquer sur quelque chose qu'ils n'avaient pas prévu en superposant une iframe transparente sur une page trompeuse.

En-têtes de protection supplémentaires

X-Content-Type-Options empêche le navigateur de deviner le type MIME d'un fichier. Si vous servez un fichier en text/plain, le navigateur n'essaiera pas de l'interpréter comme du JavaScript, même s'il ressemble à un script. Cela empêche un type d'attaque appelé MIME sniffing.

Referrer-Policy contrôle la quantité d'informations de référent envoyées lorsqu'un utilisateur clique sur un lien vers un autre site. Une politique stricte comme 'strict-origin-when-cross-origin' envoie l'URL complète pour les requêtes de même origine mais seulement l'origine pour les requêtes inter-origines, protégeant ainsi la vie privée de l'utilisateur.

Permissions-Policy (anciennement Feature-Policy) vous permet de contrôler les fonctionnalités du navigateur que votre site peut utiliser. Vous pouvez désactiver la caméra, le microphone, la géolocalisation et d'autres fonctionnalités dont vous n'avez pas besoin, réduisant ainsi la surface d'attaque.

Mise en œuvre des en-têtes de sécurité

Vous pouvez définir les en-têtes de sécurité dans la configuration de votre serveur web (NGINX, Apache, Caddy), dans votre framework d'application, ou via un CDN comme Cloudflare. Il existe des outils comme l'Observatoire de Mozilla qui analysent votre site et vous indiquent quels en-têtes sont manquants ou mal configurés.

Commencez par un ensemble simple d'en-têtes et ajoutez-en progressivement à mesure que vous comprenez leur impact. Les plus importants à implémenter en premier sont HSTS, CSP, X-Frame-Options et X-Content-Type-Options. Testez votre site après chaque modification pour vérifier que vous n'avez rien cassé — surtout CSP, qui peut être délicat à configurer correctement.

Travaillons ensemble

Vous avez besoin de plus d'informations, d'aide pour votre projet ou pour développer une idée?

Qu'il s'agisse d'une question simple, d'un doute rapide ou d'une discussion de 5 minutes, envoyez-moi un message—cela ne coûte rien et je suis toujours prêt à vous aider. J'aime comprendre un problème, être créatif dans les solutions et me concentrer sur des idées simples, fiables et faciles à réaliser rapidement.

Me contacter

Changer de sujet

Choisissez un sujet spécialisé à explorer: