Les 5 headers HTTP de sécurité indispensables pour votre site web
Les headers HTTP de sécurité sont la première ligne de défense de votre application web. Plus de 70 % des sites audités présentent au moins un header critique manquant. Voici les 5 à configurer en priorité.
Pourquoi les headers HTTP de sécurité sont critiques
Les headers HTTP de sécurité sont des directives envoyées par votre serveur au navigateur de l'utilisateur. Ils permettent de bloquer des catégories entières d'attaques — XSS, clickjacking, injection de contenu — avant même que le code malveillant n'ait la moindre chance de s'exécuter.
Pourtant, lors de nos audits, plus de 70 % des sites analysés présentent au moins un header critique manquant.
1. Content-Security-Policy (CSP)
Le CSP est le header le plus puissant. Il indique au navigateur quelles sources de contenu (scripts, styles, images) sont autorisées à se charger sur votre page.
Sans CSP, un attaquant qui parvient à injecter du contenu dans votre page peut charger des scripts depuis n'importe quel serveur externe.
Exemple minimal : Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'
2. Strict-Transport-Security (HSTS)
Ce header force le navigateur à utiliser HTTPS pour toutes les connexions futures vers votre domaine, même si l'utilisateur tape "http://" dans la barre d'adresse.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Sans HSTS, votre site reste vulnérable aux attaques man-in-the-middle sur la première connexion HTTP.
3. X-Frame-Options
Protège contre le clickjacking en interdisant à votre site d'être chargé dans une iframe sur un domaine tiers.
X-Frame-Options: DENY
Un attaquant pourrait autrement superposer une iframe invisible de votre site de paiement sur un site malveillant pour intercepter des clics.
4. X-Content-Type-Options
Empêche le navigateur de deviner (sniff) le type MIME d'une réponse, ce qui peut mener à l'exécution de contenu inattendu.
X-Content-Type-Options: nosniff
5. Referrer-Policy
Contrôle les informations envoyées dans le header Referer lors de la navigation entre pages, évitant la fuite de données sensibles (tokens, paramètres d'URL).
Referrer-Policy: strict-origin-when-cross-origin
Comment vérifier vos headers ?
WebImpulsion analyse automatiquement l'ensemble de ces headers lors de chaque audit. Vous obtenez un rapport détaillé indiquant les headers manquants, mal configurés, et les recommandations pour y remédier.
Chaque actif dispose d'un score de sécurité qui tient compte directement de la présence et de la qualité de ces headers.
WebImpulsion
Analysez votre site dès maintenant
Audit complet en ~30 secondes. Performance, sécurité, CVE, DNS, TLS.
Accéder à la plateforme