En-têtes de sécurité HTTP
Analysez les en-têtes de sécurité qu'un site web envoie.
Les en-têtes de sécurité HTTP indiquent au navigateur comment protéger vos utilisateurs contre des attaques comme le clickjacking, le XSS ou le sniffing de contenu. Cet outil récupère le site et vérifie quels en-têtes de sécurité sont présents, en affichant leur valeur et un score.
FAQ en-têtes de sécurité
HSTS (Strict-Transport-Security) force le navigateur à toujours se connecter à votre domaine via HTTPS, empêchant les attaques qui tentent de rétrograder la connexion en HTTP. C'est l'un des en-têtes de sécurité les plus importants.
Le CSP définit à partir de quelles origines un site peut charger des ressources (scripts, styles, images...). Bien configuré, c'est la défense la plus solide contre les attaques XSS, car il bloque l'exécution de code non autorisé.
Il empêche votre site d'être chargé dans une iframe sur un autre site, protégeant contre le clickjacking (tromper l'utilisateur pour qu'il clique sur quelque chose qu'il ne voit pas). Aujourd'hui, cela peut aussi être réalisé avec la directive frame-ancestors du CSP.
Non : ils constituent une couche importante de défense en profondeur, mais la sécurité réelle dépend aussi du code, de l'authentification, des dépendances et de la configuration du serveur. Cet outil n'évalue que les en-têtes de réponse.
Prêt à améliorer votre DNS ?
Choisissez le meilleur serveur DNS gratuit pour vos besoins et configurez-le en quelques minutes.