Qu'est-ce qu'une entête ?
Les en-têtes HTTP sont des valeurs qui sont affichées dans les messages de requête et de réponse dans l'en-tête de message pour HTTP. Ces en-têtes peuvent servir à indiquer au navigateur les données qu'il reçoit, par exemple un contenu PNG ou HTML. Les en-têtes peuvent également être utilisés pour accroître la sécurité et la confidentialité des visiteurs de votre site Web.
Security Headers
- Strict-Transport-Security : Cette option oblige le navigateur à utiliser le protocole HTTPS.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
- X-Frame-Options : Indique au navigateur si vous souhaitez que votre site soit intégré dans un autre site ou non. Cela peut aider à se protéger contre des attaques telles que le clickjacking.
X-Frame-Options: SAMEORIGIN
- X-Content-Type-Options : Empêche le navigateur d'essayer de détecter le type de contenu par MIME et de s'en tenir à l'en-tête Content-Type déclaré.
X-Content-Type-Options: nosniff
- Referrer-Policy : Permet au site de contrôler la les informations que le navigateur transmet lorsqu'il se dirige vers un nouveau site.
Referrer-Policy: no-referrer
- Permissions-Policy : Permet au site de contrôler les fonctionnalités et les API qui peuvent être utilisées dans le navigateur.
- Expect-ct : Permet au site de déterminer s'il est compatible avec les prochaines exigences de Chrome en matière de transparence des certificats.
expect-ct: max-age=86400, enforce
Vous trouverez plus d'informations sur https://securityheaders.com ainsi qu'un scanner d'en-tête.