Vérificateur des En-têtes de Sécurité
Auditez les 8 en-têtes de sécurité HTTP modernes — HSTS, CSP, Permissions-Policy, Referrer-Policy, X-Frame-Options, et bien d'autres. Classement A-F avec implications de flux de données de confidentialité.
Comment utiliser Vérificateur des En-têtes de Sécurité
- 1Entrez l'URL du site Web que vous souhaitez auditer.
- 2Voyez tous les en-têtes de sécurité HTTP (ou ceux manquants) détectés dans la réponse.
- 3Consultez l'analyse par en-tête montrant les implications en matière de sécurité et de confidentialité.
- 4Suivez les recommandations de correction pour améliorer votre classement de sécurité.
ZenovayAnalytics
Voyez qui est sur votre site en ce moment.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Quels en-têtes de sécurité HTTP cet outil vérifie-t-il ?▾
Cet outil vérifie 8 en-têtes de sécurité HTTP clés : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy (COOP) et X-XSS-Protection. Chaque en-tête est analysé pour son exactitude et noté.
Pourquoi Permissions-Policy est-il une question de confidentialité ?▾
Permissions-Policy contrôle quelles API du navigateur (caméra, microphone, géolocalisation, paiement) peuvent être accédées par votre page et les scripts tiers. Sans lui, les traqueurs publicitaires chargés sur votre site peuvent demander l'accès à la localisation de vos utilisateurs. Restreindre ces API avec `geolocation=(), camera=(), microphone=()` empêche les traqueurs de demander des autorisations sensibles.
Pourquoi Referrer-Policy est-il important pour la confidentialité ?▾
Sans Referrer-Policy, les navigateurs envoient l'URL complète de chaque page (y compris le chemin et les paramètres de requête comme [email protected]) à chaque ressource tierce. Définir Referrer-Policy: strict-origin-when-cross-origin limite les données de référent inter-origines au seul domaine.
Qu'est-ce que HSTS et pourquoi en ai-je besoin ?▾
HTTP Strict Transport Security (HSTS) indique aux navigateurs que votre site doit être accessible uniquement en HTTPS. Sans lui, un attaquant sur le même réseau peut intercepter les connexions HTTP (attaque de déclassement SSL). Une fois HSTS défini avec un long max-age, les navigateurs refuseront de se connecter à votre site via HTTP simple.
Mon CSP est manquant — comment en créer un ?▾
CSP peut être complexe à bien configurer. Commencez par `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; upgrade-insecure-requests` et itérez. Utilisez d'abord le mode Report-Only pour tester sans rien casser.
Qu'est-ce que X-Frame-Options et est-il encore nécessaire ?▾
X-Frame-Options empêche votre site d'être intégré dans des iframes sur d'autres domaines (protection contre le clickjacking). La directive `frame-ancestors` de CSP est le remplacement moderne, mais X-Frame-Options est encore nécessaire pour les navigateurs plus anciens. Utilisez `X-Frame-Options: DENY` sauf si vous avez besoin d'intégration iframe du même domaine.
Comment ajouter des en-têtes de sécurité à mon site ?▾
Pour Nginx : ajoutez des en-têtes dans votre bloc server {}. Pour Apache : utilisez des directives Header set dans .htaccess ou httpd.conf. Pour Cloudflare : utilisez les règles de transformation → Modifier les en-têtes de réponse. Pour Vercel/Netlify : utilisez headers() dans next.config.js ou netlify.toml.