Qu'est-ce que HSTS et comment le configurer ?

**HTTP Strict-Transport-Security** dit aux navigateurs "pour les N prochaines secondes, ne te connecte qu'à ce domaine via HTTPS, même si l'utilisateur tape `http://`". Config standard : `Strict-Transport-Security: max-age=63072000; includeSubDomains; preload`. Le `max-age=63072000` c'est 2 ans en secondes (le minimum pour la [liste preload Chrome](https://hstspreload.org/)). `includeSubDomains` couvre `api.votre-site.fr`, `cdn.votre-site.fr` etc. `preload` permet la soumission à la liste pré-cuite dans le navigateur. Attention : une fois que vous livrez HSTS avec un max-age long, **vous ne pouvez pas facilement revenir en arrière** parce que le navigateur de chaque visiteur s'en souvient. Testez avec `max-age=300` d'abord.

Qu'est-ce que Content-Security-Policy, en une minute ?

**CSP est une whitelist d'où la page est autorisée à charger des ressources**. Un point de départ raisonnable : `Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'`. Ça dit : charge tout depuis ma propre origine, aucun script tiers, aucun objet Flash/plugin, personne ne peut me frame. **La plupart des attaques XSS meurent à la frontière CSP** parce que le script injecté vient d'un domaine attaquant qui n'est pas whitelisté. Le truc difficile c'est d'autoriser les choses tierces que vous utilisez vraiment (Google Analytics, Stripe, Cloudflare Insights) sans ouvrir la porte à `'unsafe-inline'`. Utilisez des **nonces** ou des **hashes** pour ça.

X-Frame-Options vs CSP frame-ancestors, lequel gagne ?

**Les deux marchent, frame-ancestors est la voie moderne**. `X-Frame-Options: DENY` (ou `SAMEORIGIN`) est la manière 2009 de dire "ne me frame pas". `frame-ancestors 'none'` de CSP est la manière 2014 et est **plus flexible** parce que vous pouvez lister des parents autorisés spécifiques (`frame-ancestors 'self' https://partenaire.fr`). Les navigateurs modernes préfèrent `frame-ancestors` quand les deux sont présents. Pour une compatibilité maximale, **posez les deux**. Notre inspecteur vous donne le point si au moins un est présent.

Pourquoi cacher X-Powered-By et la version Server ?

**Défense en profondeur**. Si votre `Server: Apache/2.4.41 (Ubuntu)` et `X-Powered-By: PHP/7.4.3` est dans chaque réponse, un attaquant qui scanne les CVEs **sait exactement quels exploits essayer**. Retirer ces en-têtes ne corrige aucune vulnérabilité sous-jacente, mais ça augmente le coût des attaques drive-by automatisées. Express : `app.disable('x-powered-by')`. nginx : `server_tokens off;`. Apache : `ServerTokens Prod` + `ServerSignature Off`. PHP : `expose_php = Off` dans `php.ini`. Un `Server: nginx` nu c'est OK ; c'est la version qui compte.

Comment marche Permissions-Policy ?

C'est un **opt-out niveau HTTP pour les features navigateur** que la page (et ses iframes) sont autorisées à utiliser. Exemple : `Permissions-Policy: camera=(), microphone=(), geolocation=(), interest-cohort=()`. Les parens vides veulent dire "personne, même pas moi". Si vous utilisez la géolocalisation sur une route, posez `geolocation=(self)`. La ligne `interest-cohort=()` opt-out de [FLoC](https://github.com/WICG/floc) (le tracking de cohorte Google). **Le but c'est l'isolation des iframes** : même si une iframe pub embarquée appelle `navigator.geolocation.getCurrentPosition`, le navigateur refuse parce que le parent n'a pas délégué la permission.

Quand utiliser Cache-Control vs ETag ?

**Les deux, ils résolvent des problèmes différents**. `Cache-Control: public, max-age=31536000, immutable` c'est la bonne chose pour les **assets fingerprintés** (`app.a1b2c3.js`) : le navigateur ne redemande jamais avant que l'année passe, ce qui est rapide. `Cache-Control: no-cache` avec un `ETag` c'est la bonne chose pour les **pages HTML** : le navigateur redemande toujours au serveur mais sert le corps en cache si l'ETag matche encore (un rapide `304 Not Modified`). **`no-cache` ne veut pas dire "ne pas cacher"** (ça c'est `no-store`) ; ça veut dire "revalider toujours d'abord". La plupart des sites en prod font le coup de l'asset fingerprinté pour JS/CSS/images et un `max-age` court (60 à 300 s) plus `s-maxage` pour le HTML.

Mon site a 5 redirections dans la chaîne. C'est mauvais ?

**C'est lent, mais pas toujours cassé**. Chaque hop coûte une résolution DNS plus un handshake TCP plus un handshake TLS plus 1 round trip, typiquement 50 à 200 ms. Cinq hops c'est 0,5 à 1 seconde avant que l'utilisateur ne voie quoi que ce soit. Coupables courants : `http://exemple.fr` vers `https://exemple.fr` vers `https://www.exemple.fr` vers `https://www.exemple.fr/fr/` vers `https://www.exemple.fr/fr/accueil/`. **Corrigez en effondrant la chaîne** : faites les redirects http-vers-https, www-vs-nu et trailing-slash en une seule fois. Les domaines de tracking marketing (`bit.ly`, `t.co`) ajoutent souvent leurs propres hops aussi ; pas grand-chose à faire pour ceux-là.

Quelle est la différence entre ça et securityheaders.com ?

**Même idée, scoring légèrement différent**. securityheaders.com est **la référence de l'industrie**, géré par Scott Helme, et note A+ à F. Notre outil vous donne **la chaîne de hops complète** avec les timings par hop (la leur effondre les redirections), montre **chaque en-tête** de la réponse finale groupé par objectif (cache, CORS, server, custom), et utilise un barème A-F similaire avec un **point bonus chacun pour version Server cachée et X-Powered-By manquant**. Les recommandations incluent des **lignes de config concrètes** prêtes à coller. Utilisez les deux ; les deuxièmes avis sont bon marché.

L'URL que je vérifie est-elle stockée quelque part ?

**Non**. L'URL arrive sur notre fonction serverless, la fonction récupère **uniquement les en-têtes** (on annule le corps à la seconde où les en-têtes arrivent, le contenu réel de votre page n'est donc jamais téléchargé), calcule le score, renvoie du JSON. **Rien n'est loggué, rien ne touche le disque, aucun analytics ne se déclenche sur la requête API**. Limite de débit : **30 requêtes par heure** par IP, map en mémoire, se remet à zéro quand la fonction cold-start. La protection SSRF refuse les hosts privés et loopback à chaque hop, une redirection malveillante vers `10.0.0.1` est donc rejetée.

Inspecteur en-têtes HTTP - gratuit

Que montre l'inspecteur d'en-têtes HTTP ?

Collez une URL, cliquez sur Vérifier, et notre serveur parcourt la chaîne de redirections un hop à la fois (jusqu'à 5 hops), enregistre statut, en-têtes et timing de chaque hop, puis note les en-têtes de sécurité de la page finale A à F.

Vous voyez exactement ce qu'un navigateur voit sur le fil : chaque redirection, chaque Set-Cookie, chaque Cache-Control, chaque ligne CORS. Plus une carte sécurité qui vous dit en clair si Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy sont posés, plus un point bonus chacun pour avoir caché la version Server et retiré X-Powered-By.

Pour chaque en-tête manquant vous obtenez une ligne de config concrète prête à coller dans nginx, Apache, Express ou votre CDN.

Mode d'emploi

Collez l'URL complète (par exemple `https://votre-site.fr`). Si vous omettez `https://`, on l'ajoute.
Cliquez sur Vérifier ou appuyez sur Entrée. Le serveur a 8 secondes par hop et 20 secondes de budget total. Run typique : 200 à 800 ms.
Lisez la chaîne de redirections de haut en bas : hop 1, hop 2, etc. Chacun montre l'URL, le code de statut (`301`, `302`, `308`) et combien de temps le serveur a pris à répondre.
Regardez la carte de score de sécurité : une lettre A à F plus un score numérique sur 10. Chaque pilier (HSTS, CSP, ...) est une ligne avec une coche verte ou une croix rouge et un fix d'une ligne.
Ouvrez Tous les en-têtes de réponse (hop final) pour voir chaque en-tête groupé par Sécurité, Cache, CORS, Server, Autre. Copiez la valeur dont vous avez besoin en un clic.

Quand cet outil est utile

Sept situations du quotidien où vous voulez inspecter vous-même les en-têtes :

Une nouvelle landing page va en ligne. Vérifiez que la chaîne de redirections est courte (un 301 max) et que HSTS, CSP et X-Content-Type-Options sont en place avant que le marketing pousse l'URL.
Votre site a eu un B sur securityheaders.com. Utilisez le breakdown pour voir exactement quels deux en-têtes vous ont coûté l'upgrade en A, et copiez les lignes recommandées dans nginx.
Le cache se comporte bizarrement. Inspectez Cache-Control, ETag, Last-Modified, Vary sur le hop final. Si vous voyez `Cache-Control: no-store` là où vous attendiez `max-age=3600`, vous savez que le CDN/origine retire des en-têtes.
Erreurs CORS dans le navigateur. Vérifiez Access-Control-Allow-Origin / -Methods / -Headers / -Credentials sur l'endpoint qui échoue. L'inspecteur montre les valeurs serveur exactes, sans acrobaties DevTools.
Redirection suspecte. Certains outils marketing chaînent 4 à 5 redirections via des domaines de tracking. La liste de hops vous montre chaque étape et le timing par hop, vous pouvez repérer le lent.
Débogage CDN. Comparez les en-têtes sur l'origine vs l'edge CDN. Des valeurs différentes X-Cache, Age, Server, Via vous disent si le CDN sert depuis le cache ou pulle frais.
Audit de conformité. Une checklist sécurité demande HSTS preload, pas de X-Powered-By et Permissions-Policy. L'inspecteur confirme ou nie chaque item avec une recommandation copiable.

Questions fréquentes

Ce sont des en-têtes de réponse qu'un navigateur lit avant de rendre la page. Chacun ferme un vecteur d'attaque spécifique. HSTS stoppe les attaques de downgrade (HTTP au lieu de HTTPS). CSP stoppe les scripts injectés (XSS) et l'exfiltration de données. X-Frame-Options stoppe le clickjacking (votre page dans l'iframe de quelqu'un d'autre). X-Content-Type-Options: nosniff stoppe la confusion de type MIME. Referrer-Policy stoppe la fuite d'URLs sensibles dans l'en-tête Referer. Permissions-Policy stoppe les frames embarquées qui essaient d'attraper caméra, micro ou géolocalisation. Ils sont gratuits, côté serveur, et supportés par tout navigateur moderne, il n'y a donc aucune bonne raison de ne pas les poser.

Que montre l'inspecteur d'en-têtes HTTP ?

Pour chaque en-tête manquant vous obtenez une ligne de config concrète prête à coller dans nginx, Apache, Express ou votre CDN.

Mode d'emploi

Collez l'URL complète (par exemple `https://votre-site.fr`). Si vous omettez `https://`, on l'ajoute.

Cliquez sur Vérifier ou appuyez sur Entrée. Le serveur a 8 secondes par hop et 20 secondes de budget total. Run typique : 200 à 800 ms.

Lisez la chaîne de redirections de haut en bas : hop 1, hop 2, etc. Chacun montre l'URL, le code de statut (`301`, `302`, `308`) et combien de temps le serveur a pris à répondre.

Regardez la carte de score de sécurité : une lettre A à F plus un score numérique sur 10. Chaque pilier (HSTS, CSP, ...) est une ligne avec une coche verte ou une croix rouge et un fix d'une ligne.

Ouvrez Tous les en-têtes de réponse (hop final) pour voir chaque en-tête groupé par Sécurité, Cache, CORS, Server, Autre. Copiez la valeur dont vous avez besoin en un clic.

Quand cet outil est utile

Sept situations du quotidien où vous voulez inspecter vous-même les en-têtes :

Une nouvelle landing page va en ligne. Vérifiez que la chaîne de redirections est courte (un 301 max) et que HSTS, CSP et X-Content-Type-Options sont en place avant que le marketing pousse l'URL.
Votre site a eu un B sur securityheaders.com. Utilisez le breakdown pour voir exactement quels deux en-têtes vous ont coûté l'upgrade en A, et copiez les lignes recommandées dans nginx.
Le cache se comporte bizarrement. Inspectez Cache-Control, ETag, Last-Modified, Vary sur le hop final. Si vous voyez `Cache-Control: no-store` là où vous attendiez `max-age=3600`, vous savez que le CDN/origine retire des en-têtes.
Erreurs CORS dans le navigateur. Vérifiez Access-Control-Allow-Origin / -Methods / -Headers / -Credentials sur l'endpoint qui échoue. L'inspecteur montre les valeurs serveur exactes, sans acrobaties DevTools.
Redirection suspecte. Certains outils marketing chaînent 4 à 5 redirections via des domaines de tracking. La liste de hops vous montre chaque étape et le timing par hop, vous pouvez repérer le lent.
Débogage CDN. Comparez les en-têtes sur l'origine vs l'edge CDN. Des valeurs différentes X-Cache, Age, Server, Via vous disent si le CDN sert depuis le cache ou pulle frais.
Audit de conformité. Une checklist sécurité demande HSTS preload, pas de X-Powered-By et Permissions-Policy. L'inspecteur confirme ou nie chaque item avec une recommandation copiable.

Questions fréquentes

Inspecteur en-têtes HTTP

Que montre l'inspecteur d'en-têtes HTTP ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Inspecteur certificat SSL

Aperçu Open Graph

Testeur requêtes HTTP

Détecteur HTTP/2 / HTTP/3 / QUIC

Détecteur cloud / CDN

Inspecteur en-têtes HTTP

Que montre l'inspecteur d'en-têtes HTTP ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Inspecteur certificat SSL

Aperçu Open Graph

Testeur requêtes HTTP

Détecteur HTTP/2 / HTTP/3 / QUIC

Détecteur cloud / CDN