Vérificateur d'en-têtes de sécurité

Vérifiez une URL pour détecter les en-têtes de sécurité manquants ou risqués (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) et analysez les drapeaux des cookies (Secure, HttpOnly, SameSite). Suivez les redirections vers la destination finale, exportez des rapports JSON/PDF et obtenez des recommandations actionnables de durcissement.

Loading…

À propos Vérificateur d'En-têtes de Sécurité

La sécurité web moderne est largement appliquée par les en-têtes de réponse HTTP. Cet outil récupère une URL (en suivant éventuellement les redirections) et audite les principaux en-têtes de durcissement qui réduisent les problèmes de XSS, de clickjacking, de reniflage MIME, de transport non sécurisé et d'isolation cross-origin. Il examine également les attributs Set-Cookie pour identifier les lacunes courantes comme l'absence de Secure/HttpOnly/SameSite, ou SameSite=None sans Secure.

Fonctionnalités

  • Suivez les redirections pour auditer la destination HTTPS finale (recommandé pour les déploiements réels).
  • Vérifie les en-têtes de durcissement requis : Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Vérifie les en-têtes modernes recommandés : COOP, COEP, CORP, Origin-Agent-Cluster, et signaux de durcissement supplémentaires lorsqu'ils sont présents.
  • Analyse des cookies pour les drapeaux Set-Cookie : Secure, HttpOnly, SameSite ; avertit pour SameSite=None sans Secure.
  • Analyse CSP : met en évidence unsafe-inline, unsafe-eval, les sources génériques, les directives défensives manquantes (default-src, object-src, base-uri, frame-ancestors) et les mises en garde report-only.
  • Signale les en-têtes obsolètes ou risqués (ex : X-XSS-Protection) et les en-têtes de fuite d'informations (ex : Server, X-Powered-By).
  • Résultats copiables/partageables pour les revues de sécurité, rapports de pentest ou tickets de bug.
  • Téléchargez des rapports au format JSON ou PDF pour les audits, preuves de conformité et suivi des régressions.

🧭 Comment utiliser for security-headers-checker

1

Collez l'URL que vous souhaitez auditer

Entrez l'URL complète (de préférence https://…). L'outil évalue les en-têtes de réponse renvoyés par ce point de terminaison.

2

Activez « Suivre les redirections » (recommandé)

De nombreux sites redirigent http→https et non-www→www (ou vice versa). Suivre les redirections permet d'auditer la destination finale atteinte par les utilisateurs et les bots.

3

Choisissez d'afficher ou non les en-têtes bruts

Activez « Afficher les en-têtes bruts » si vous souhaitez les lignes d'en-tête originales pour le débogage (utile pour les CDN, les reverse proxies et les valeurs par défaut des frameworks).

4

Examinez les résultats et priorisez les corrections

Concentrez-vous d'abord sur la sécurité du transport (HSTS), la protection anti-XSS (CSP), le clickjacking (protections des frames), les drapeaux des cookies et l'isolation cross-origin (COOP/COEP/CORP) le cas échéant.

5

Exportez un rapport pour le suivi

Téléchargez JSON/PDF pour joindre aux tickets, comparer les changements dans le temps ou ajouter des vérifications en CI pour les régressions.

Spécifications techniques

Ce que cet outil vérifie

Le vérificateur se concentre sur les en-têtes de réponse modernes à fort impact et les attributs de cookies utilisés pour les contrôles de sécurité appliqués par le navigateur.

DomaineSignaux vérifiésPourquoi c'est important
Sécurité du transportStrict-Transport-Security (HSTS)Impose le HTTPS et aide à prévenir le démontage SSL lors des visites ultérieures.
Atténuation des XSSContent-Security-Policy (CSP) + pièges courantsRestreint les sources de scripts/styles et réduit l'impact des XSS lorsqu'elle est correctement configurée.
ClickjackingX-Frame-Options et/ou CSP frame-ancestorsEmpêche vos pages d'être intégrées (framées) par d'autres origines.
Détection MIMEX-Content-Type-Options: nosniffEmpêche les navigateurs de deviner les types de contenu de manière risquée.
Fuites du référentReferrer-PolicyContrôle la quantité d'informations du référent envoyée à d'autres sites.
Contrôle des permissionsPermissions-PolicyRestreint les fonctionnalités puissantes (caméra, micro, géolocalisation, etc.) au niveau du navigateur.
Isolation cross-originCOOP / COEP / CORP (et associés)Nécessaire pour une isolation de sécurité avancée et certaines API hautes performances.
CookiesDrapeaux Set-Cookie : Secure, HttpOnly, SameSiteRéduit le risque de vol de session et atténue les CSRF lorsqu'ils sont correctement configurés.
Risqué/dépréciéX-XSS-Protection, Server, X-Powered-By (lorsque présents)Contrôles dépréciés ou fuites d'informations pouvant aider les attaquants.

Comportement et limites des requêtes

L'audit s'exécute côté serveur et peut suivre les redirections pour correspondre au comportement de navigation réel.

ParamètreComportementPar défaut
Suivre les redirectionsSuit jusqu'à un nombre limité de redirectionsActivé
Redirections maxNombre maximum de redirections lorsque le suivi est activé10
Délai d'attenteDélai d'attente de la requête15000 ms
User-AgentEn-tête d'identification de la requêteEncode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
Réseaux privésBloque les cibles en réseau privéNon autorisé

Interpréter correctement les résultats

Un scan d'en-têtes « réussi » n'est pas synonyme de « sécurisé ». Les en-têtes ne sont qu'une couche. L'objectif est de réduire la portée des classes courantes de problèmes et d'imposer des paramètres par défaut plus sûrs pour les navigateurs.

Utilisez ce rapport comme une liste de contrôle de base pour le durcissement. Auditez toujours l'authentification, l'autorisation, la validation des entrées, les vulnérabilités des dépendances et la configuration du serveur.

Ligne de commande

Utilisez curl pour reproduire ce que fait le vérificateur et valider rapidement les en-têtes lors du débogage ou en CI.

macOS / Linux

Récupérer les en-têtes de réponse

curl -I [https://example.com](https://example.com)

Affiche les en-têtes de haut niveau renvoyés par le point de terminaison.

Suivre les redirections et afficher les en-têtes

curl -IL [https://example.com](https://example.com)

Utile pour confirmer les en-têtes de la destination finale après les redirections.

Inspecter les lignes Set-Cookie

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Aide à vérifier les attributs Secure/HttpOnly/SameSite.

Windows (PowerShell)

Récupérer les en-têtes de réponse

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

Affiche les en-têtes renvoyés dans PowerShell.

Testez toujours à la fois vos pages HTML et vos points de terminaison API critiques : ils ont souvent des piles middleware différentes et donc des ensembles d'en-têtes différents.

Cas d'utilisation

Base de durcissement de la sécurité pour une application web

Établir une base minimale d'en-têtes et détecter les en-têtes manquants après les déploiements, les changements de proxy/CDN ou les mises à niveau de framework.

  • Vérifier que HSTS est présent sur le HTTPS de production
  • S'assurer que les protections contre le clickjacking sont activées pour les pages authentifiées

Revue de la sécurité des cookies et des sessions

Valider que les cookies de session sont envoyés avec Secure/HttpOnly/SameSite et détecter les mauvaises configurations courantes.

  • Détecter SameSite=None sans Secure
  • Confirmer que HttpOnly est défini sur les jetons de session

Qualité de la CSP et réduction des risques XSS

Identifiez les modèles CSP à haut risque et priorisez les correctifs qui réduisent significativement l'impact des XSS.

  • Supprimez unsafe-inline et adoptez une stratégie nonce/hash
  • Ajoutez frame-ancestors et base-uri pour des valeurs par défaut plus robustes

Vérifications de régression CDN / proxy inverse

Détectez quand un CDN, un répartiteur de charge ou un proxy supprime ou duplique des en-têtes.

  • Vérifiez que les en-têtes de sécurité persistent après les modifications Cloudflare/Varnish/Nginx
  • Assurez-vous que les redirections ne suppriment pas HSTS sur la destination finale

❓ Frequently Asked Questions

Pourquoi les en-têtes de sécurité sont-ils importants ?

Ils imposent des contrôles de sécurité côté navigateur qui réduisent l'impact d'attaques web courantes comme le XSS, le clickjacking, et les problèmes de contenu mixte ou de dégradation. Ils définissent également des valeurs par défaut plus sûres pour les cookies et le comportement cross-origin.

Dois-je activer « Suivre les redirections » ?

Généralement oui. Les utilisateurs réels et les robots d'indexation arrivent à l'URL finale après les redirections, et c'est là que les en-têtes effectifs comptent. Les chaînes de redirection peuvent masquer l'absence d'en-têtes sur la destination finale.

CSP est-il requis pour chaque site ?

Il est fortement recommandé pour les sites avec des sessions utilisateur ou du contenu dynamique. Même un CSP basique peut réduire le risque XSS, mais il doit être testé soigneusement pour éviter de casser les scripts et les intégrations tierces.

Pourquoi X-XSS-Protection est-il signalé comme obsolète ou risqué ?

Il est obsolète dans les navigateurs modernes et, dans certains cas historiques, pouvait introduire un comportement inattendu. Concentrez-vous plutôt sur CSP et les bonnes pratiques de codage sécurisé.

Quelle est une erreur courante avec HSTS ?

Activer HSTS sur HTTPS mais oublier de servir HTTPS de manière cohérente (ou l'omettre sur l'hôte canonique). Une autre erreur courante est d'ajouter des directives de préchargement sans satisfaire pleinement aux exigences de préchargement.

Les en-têtes seuls peuvent-ils sécuriser mon application ?

Non. Les en-têtes sont une couche de durcissement. Vous avez toujours besoin d'un codage sécurisé, d'une gestion des dépendances, d'une authentification/autorisation correcte et d'une configuration serveur robuste.

Pro Tips

Best Practice

Auditez à la fois la page HTML d'atterrissage et vos points de terminaison d'API. Ils ont souvent des middlewares différents et peuvent diverger silencieusement dans la couverture des en-têtes.

CI Tip

Exécutez une vérification de chaîne de redirection : confirmez que la destination finale définit les en-têtes les plus robustes (en particulier HSTS et CSP).

Best Practice

Considérez les cookies comme faisant partie de votre périmètre de sécurité : Secure + HttpOnly + SameSite approprié devrait être votre configuration par défaut pour les cookies de session.

Best Practice

Pour la CSP, priorisez la suppression de unsafe-inline/unsafe-eval et adoptez des nonces ou des hachages. C'est généralement le gain de sécurité le plus significatif dans la pratique.

Best Practice

Évitez de divulguer des détails du serveur. Supprimez ou minimisez les en-têtes Server / X-Powered-By lorsque c'est possible pour réduire l'empreinte numérique.

CI Tip

Ajoutez un test de régression dans l'intégration continue qui bloque les déploiements si des en-têtes critiques disparaissent (les changements de proxy/CDN causent cela plus souvent qu'on ne le pense).

Additional Resources

Projet OWASP Secure Headers
Documentation
MDN : Content Security Policy (CSP)
Documentation
MDN : Strict-Transport-Security (HSTS)
Documentation
MDN : Set-Cookie
Documentation
MDN : Permissions-Policy
Documentation

Other Tools