Les en-têtes de sécurité HTTP sont des configurations serveur d'une seule ligne qui indiquent aux navigateurs comment gérer le contenu de votre site. Ils préviennent un large éventail d'attaques — du clickjacking au cross-site scripting — sans nécessiter de modifications de votre code d'application.
Les six en-têtes critiques
1. Content-Security-Policy (CSP)
Le CSP est l'en-tête le plus puissant pour prévenir les attaques XSS. Il définit une liste blanche de sources depuis lesquelles les scripts, styles et autres ressources peuvent être chargés.
Commencez avec une politique en mode rapport pour auditer les violations avant de les appliquer :
Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-violations2. Strict-Transport-Security (HSTS)
HSTS force les navigateurs à utiliser HTTPS pour toutes les futures requêtes vers votre domaine, même si l'utilisateur tape http://.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload3. X-Frame-Options / frame-ancestors
Empêche vos pages d'être intégrées dans des iframes sur d'autres sites (clickjacking). La directive CSP moderne frame-ancestors remplace l'ancien en-tête X-Frame-Options.
4. X-Content-Type-Options
Arrête le MIME-sniffing du navigateur. Une ligne, protection maximale :
X-Content-Type-Options: nosniff5. Referrer-Policy
Contrôle combien d'informations de référent sont incluses dans les requêtes sortantes. strict-origin-when-cross-origin est la valeur par défaut recommandée.
6. Permissions-Policy
Restreint l'accès aux API du navigateur (caméra, microphone, géolocalisation). Même si vous n'utilisez pas ces API, les restreindre empêche les scripts tiers d'en abuser.
Comment AISeen vérifie vos en-têtes
L'AISeen Security Score audite les six en-têtes critiques ainsi que la configuration HTTPS, les flags de cookies et les fuites d'informations (divulgation de la version du serveur dans les en-têtes de réponse).