Index

Paramètre d'en-tête HTTP non sécurisé

Risque : faible

Description

Configuration non sécurisée des en-têtes (Insecure Header Setting) :

• Content Security Policy : Atténue les risques de cross-site scripting (XSS) en spécifiant des sources de contenu de confiance.
• Cookie : Améliore la sécurité en définissant des attributs comme HttpOnly et Secure pour protéger les données des cookies contre les accès non autorisés.
• Cross-Origin Resource Sharing : Contrôle la façon dont les ressources peuvent être partagées entre différents domaines afin de prévenir les accès malveillants.
• HTTP Public Key Pinning : Protège contre les attaques de type Man-in-the-Middle (MitM) en spécifiant quelles clés publiques sont valides pour un site particulier.
• Redirection : Garantit que les redirections sont sécurisées et ne mènent qu'à des destinations de confiance pour prévenir les vulnérabilités de redirection ouverte (Open Redirect).
• Referrer Policy : Définit la quantité d'informations de référence (referrer) transmise lors de la navigation d'un site à un autre, améliorant ainsi la confidentialité.
• Subresource Integrity : Vérifie que les ressources chargées à partir de domaines tiers n'ont pas été altérées en vérifiant leur hachage cryptographique.
• X-Content-Type-Options : Empêche les navigateurs d'effectuer un reniflage MIME (MIME-sniffing) du type de contenu, réduisant ainsi le risque d'attaques basées sur le type de contenu.
• X-Frame-Options : Prévient les attaques de clickjacking en contrôlant si une page peut être intégrée dans un cadre.
• X-XSS-Protection : Active le filtrage XSS intégré au navigateur pour bloquer les attaques XSS détectées.
• Permissions-Policy : Contrôle quelles fonctionnalités et API peuvent être utilisées dans le navigateur, améliorant la sécurité en limitant les capacités pour les contenus non fiables.
• Clear-Site-Data : Permet aux sites de demander au navigateur d'effacer les données stockées (cookies, stockage local, caches) pour une origine spécifique, contribuant ainsi à atténuer l'impact des fuites de données ou des problèmes de confidentialité.

Recommandation

Pour vous assurer de ne pas avoir de configurations d'en-tête non sécurisées, prenez en compte les éléments suivants :

1. Content Security Policy (CSP) :

Appliquez des restrictions sur les sources de contenu, en atténuant les risques liés aux attaques XSS et au chargement non autorisé de ressources.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdnjs.cloudflare.com;

1. Cookie Security Headers :

Implémentez les drapeaux Secure et HttpOnly pour prévenir le vol et la manipulation de cookies, améliorant ainsi la sécurité de la session utilisateur.

Set-Cookie: sessionid=abc123; Secure; HttpOnly;

1. Cross-Origin Resource Sharing (CORS) :

Configurez correctement les politiques CORS pour restreindre l'accès aux ressources provenant de différentes origines, atténuant ainsi les falsifications de requêtes intersites (CSRF) et les fuites de données inter-origines.

Access-Control-Allow-Origin: https://example.com

1. HTTP Public Key Pinning (HPKP) :

Utilisez HPKP pour lier les clés publiques à des serveurs web spécifiques, vous protégeant ainsi des attaques Man-in-the-Middle (MitM) impliquant des certificats frauduleux.

Public-Key-Pins: pin-sha256="base64=="; max-age=5184000; includeSubDomains;

1. Redirection Headers :

Assurez une redirection sécurisée en mettant en œuvre des contrôles stricts pour prévenir les vulnérabilités de redirection ouverte, protégeant ainsi les utilisateurs contre les attaques de phishing.

Location: https://example.com/secure-page

1. Referrer Policy :

Définissez des politiques de referrer appropriées pour contrôler la quantité d'informations transmise dans l'en-tête Referer, réduisant ainsi le risque d'exposition de données sensibles.

Referrer-Policy: strict-origin-when-cross-origin

1. Subresource Integrity (SRI) :

Implémentez SRI pour vérifier l'intégrité des ressources externes, telles que les scripts et les feuilles de style, afin de vous protéger contre les modifications non autorisées et les attaques de la chaîne d'approvisionnement (Supply Chain Attacks).

<script src="https://example.com/example.js" integrity="sha256-base64==" crossorigin="anonymous"></script>

1. X-Content-Type-Options :

Activez la directive 'nosniff' pour empêcher les navigateurs de renifler le type MIME d'une réponse, atténuant ainsi les risques liés aux attaques par confusion de type de contenu.

X-Content-Type-Options: nosniff

1. X-Frame-Options :

Définissez X-Frame-Options pour restreindre l'intégration du contenu web dans des cadres, offrant ainsi une protection contre les attaques de clickjacking et garantissant l'intégrité de vos pages web.

X-Frame-Options: DENY

1. X-XSS-Protection :

Activez les mécanismes de protection XSS pour atténuer les attaques XSS en demandant aux navigateurs de nettoyer ou de bloquer les scripts potentiellement malveillants.

X-XSS-Protection: 1; mode=block

Liens

• OWASP HTTP Header Security
• Content Security Policy (MDN)
• X-Frame-Options (MDN)

Normes

• OWASP_ASVS_L1:
  • V5_1_3
  • V14_5_3
• OWASP_ASVS_L2:
  • V5_1_3
  • V14_5_3
• OWASP_ASVS_L3:
  • V5_1_3
  • V14_5_3
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213