Secure HTTP Header Settings

Paramètres sécurisés des en-têtes HTTP

Risk: secure

Description

Paramètres d'en-tête sécurisés :

• Content Security Policy : Atténue les risques de cross-site scripting (XSS) en spécifiant des sources de confiance pour le contenu.
• Cookie : Améliore la sécurité en définissant des attributs tels que HttpOnly et Secure pour protéger les données des cookies contre tout accès non autorisé.
• Cross-Origin Resource Sharing : Contrôle la façon dont les ressources peuvent être partagées entre différents domaines pour empêcher les accès malveillants.
• HTTP Public Key Pinning : Protège contre les attaques de l'homme du milieu (man-in-the-middle) en spécifiant quelles clés publiques sont valides pour un site particulier.
• Redirection : S'assure que les redirections sont sûres et ne mènent qu'à des destinations de confiance pour prévenir les vulnérabilités de redirection ouverte (open redirect).
• Referrer Policy : Définit la quantité d'informations de référent (referrer) qui est transmise lors de la navigation d'un site à un autre, améliorant ainsi la confidentialité.
• Subresource Integrity : Vérifie que les ressources chargées à partir de domaines tiers n'ont pas été altérées en vérifiant leur hachage cryptographique.
• X-Content-Type-Options : Empêche les navigateurs de deviner (MIME-sniffing) le type de contenu, réduisant ainsi le risque d'attaques basées sur le type de contenu.
• X-Frame-Options : Prévient les attaques de clickjacking en contrôlant si une page peut être intégrée dans un cadre (frame).
• X-XSS-Protection : Active le filtrage XSS intégré du navigateur pour bloquer les attaques de cross-site scripting détectées.
• Permissions-Policy : Contrôle quelles fonctionnalités et API peuvent être utilisées dans le navigateur, améliorant la sécurité en limitant les capacités pour le contenu non fiable.
• Clear-Site-Data : Permet aux sites de demander au navigateur d'effacer les données stockées (cookies, stockage local, caches) pour une origine spécifiée, aidant à atténuer l'impact des fuites de données ou des problèmes de confidentialité.

Recommandation

L'implémentation est sécurisée, aucune recommandation ne s'applique.

Liens

• OWASP HTTP Header Security
• Content Security Policy (MDN)
• X-Frame-Options (MDN)