Diagnostics rapides des appareils

Vérificateur d'en-têtes de sécurité : test CSP, HSTS, X-Frame-Options et plus

Inspectez les en-têtes de sécurité HTTP d'un site public et examinez CSP, HSTS, protection contre le clickjacking, politique de référent, permissions et signaux d'isolation cross-origin.

Durcissement par en-têtes

Vérificateur d'en-têtes de sécurité

Vérifiez les en-têtes HTTP défensifs retournés par un site public.

Prêt

Le vérificateur suit jusqu'à cinq redirections publiques et évalue la réponse finale.

Résultats des en-têtes

Lancez une vérification pour voir les détails des en-têtes de sécurité.

Score des en-têtes de sécuritéAucun en-tête vérifié pour l'instant--/100

Les constats sur les en-têtes de sécurité apparaîtront ici après une vérification réussie.

Pourquoi utiliser un vérificateur d'en-têtes de sécurité en ligne

Un vérificateur d'en-têtes de sécurité en ligne aide à confirmer quelles défenses HTTP une page publique renvoie actuellement. Ces en-têtes ne remplacent pas la sécurité applicative, mais ils réduisent l'exposition à des risques courants côté navigateur comme le clickjacking, le MIME sniffing, les référents trop larges, les règles de frame faibles et l'absence de renforcement HTTPS.

Comment le test s'exécute

L'outil effectue une requête HTTP ou HTTPS côté serveur vers l'URL publique indiquée, suit jusqu'à cinq redirections publiques, lit les en-têtes de la réponse finale et évalue la présence ainsi que la qualité de base des en-têtes de sécurité les plus courants. Il vérifie Strict-Transport-Security, Content-Security-Policy, la protection des frames via CSP ou X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy et Cross-Origin-Resource-Policy.

Comment interpréter les résultats

Commencez par les en-têtes absents marqués comme échec, puis examinez les avertissements lorsqu'un en-tête existe mais peut être faible pour les navigateurs modernes. Un score élevé indique une base solide pour la réponse finale testée, tandis qu'un score faible indique que le serveur, le CDN, le framework ou l'application devrait revoir sa configuration.

  • HSTS aide les navigateurs à conserver les futures visites en HTTPS après une visite sécurisée.
  • CSP limite les origines depuis lesquelles scripts, styles, frames, images et autres ressources peuvent se charger.
  • La protection des frames aide à réduire le risque de clickjacking.
  • Referrer-Policy et Permissions-Policy réduisent l'exposition inutile de données du navigateur.
  • COOP et CORP aident à isoler les contextes et ressources cross-origin.

Ce test signale les en-têtes retournés par la réponse publique finale. Il n'audite pas toute l'application, ne prouve pas qu'une CSP est parfaite, ne teste pas les réseaux privés et ne stocke pas de données personnelles.

Outils associés

Questions fréquentes

Que teste ce vérificateur d'en-têtes de sécurité ?

Il vérifie les en-têtes HTTP retournés par une URL publique. Le rapport se concentre sur CSP, HSTS, la protection des frames, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP et CORP.

Comment fonctionne le vérificateur d'en-têtes de sécurité ?

L'outil effectue une requête côté serveur vers l'URL saisie et lit les en-têtes de réponse. Il note ensuite les en-têtes selon une base conservatrice pour les contrôles de sécurité courants du navigateur.

Puis-je tester un domaine sans saisir le protocole ?

Oui. Si vous saisissez seulement un domaine, le vérificateur utilise HTTPS par défaut. Vous pouvez aussi saisir une URL HTTP ou HTTPS complète pour inspecter un chemin précis.

Un score parfait signifie-t-il que mon site est sécurisé ?

Non. Les en-têtes de sécurité sont une couche de durcissement du navigateur, pas un audit complet. Un bon score signifie que la réponse testée possède une bonne base, mais l'application a encore besoin de code sûr, d'authentification, d'autorisation et de contrôles d'infrastructure.

Pourquoi HSTS est-il important ?

HSTS indique aux navigateurs d'utiliser HTTPS pour les visites futures après avoir vu une connexion sécurisée. Il aide à réduire les rétrogradations et l'exposition accidentelle en HTTP simple lorsqu'il est configuré avec un max-age significatif.

Pourquoi Content-Security-Policy peut-il afficher un avertissement ?

Une CSP peut exister tout en autorisant des modèles risqués comme les scripts inline non sûrs ou eval. Le vérificateur signale ces cas en avertissement parce que l'en-tête aide, mais la politique peut devoir être renforcée.

Qu'est-ce que la protection contre le clickjacking ?

La protection contre le clickjacking limite la possibilité pour un autre site de placer votre page dans une frame. Elle est généralement configurée avec CSP frame-ancestors ou l'ancien en-tête X-Frame-Options.

Pourquoi les résultats diffèrent-ils entre la page d'accueil et une autre URL ?

Les en-têtes peuvent être configurés par route, règle CDN, réponse de framework ou service d'origine. Testez l'URL exacte chargée par les utilisateurs, car une page d'accueil, une page de connexion, une API et un fichier statique peuvent retourner des en-têtes différents.

Ce vérificateur suit-il les redirections ?

Oui. Il suit jusqu'à cinq redirections publiques HTTP ou HTTPS et évalue les en-têtes de la réponse finale, car ce sont généralement ceux que les utilisateurs reçoivent. La chaîne de redirections apparaît dans le résultat pour vérifier où la requête s'est déplacée.

Cet outil peut-il tester des sites privés ou locaux ?

Non. Il est destiné aux domaines publics et aux URL HTTP ou HTTPS publiques. Localhost, réseaux privés, noms internes et plages d'IP réservées sont rejetés.

Ce vérificateur d'en-têtes de sécurité est-il sûr à utiliser ?

Oui. Le vérificateur demande seulement l'URL publique et lit les en-têtes de réponse. Il ne demande pas d'identifiants, ne modifie pas le site distant et ne stocke pas de données personnelles.

Quel en-tête dois-je corriger en premier ?

Commencez par une CSP absente, HSTS sur les pages HTTPS, la protection des frames et X-Content-Type-Options. Affinez ensuite Referrer-Policy, Permissions-Policy, COOP et CORP selon la façon dont l'application intègre du contenu et utilise des ressources cross-origin.