# Vérificateur d'en-têtes de sécurité HTTP > Vérificateur gratuit d'en-têtes de sécurité HTTP en mode coller pour localhost, préproduction et environnements privés. Analysez les en-têtes sans récupérer d'URL publique. - **Category:** Développeur - **URL:** https://www.teafun.cyou/tools/http-headers-checker/ - **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking. - **Also known as:** http headers, security headers, csp, cors, response headers, check headers, website headers - **Related tools:** [Formateur de journaux](https://www.teafun.cyou/tools/log-formatter/), [Décodeur JWT](https://www.teafun.cyou/tools/jwt-decoder/), [Formateur et validateur JSON](https://www.teafun.cyou/tools/json-formatter/) - **Tags:** Data, Security ## About Collez les en-têtes de réponse bruts ou la sortie de curl -I pour examiner localement les en-têtes de sécurité courants, dont CSP, HSTS et COOP. ## Comment utiliser le vérificateur d'en-têtes de sécurité HTTP Exécutez `curl -sI https://your.endpoint/` ou copiez depuis DevTools → Réseau → En-têtes → Réponse. Collez le bloc complet incluant la ligne de statut (`HTTP/2 200`). Le vérificateur tolère les redirections (`301`/`302`/`307`/`308`) et note la réponse finale. Chaque en-tête est évalué par rapport à la valeur recommandée par OWASP : Réussi (correspond à la recommandation), Avertissement (présent mais faible — par ex., HSTS `max-age=300` est trop court pour être efficace), Échoué (absent ou activement non sécurisé — par ex., `Access-Control-Allow-Origin: *` avec des endpoints nécessitant des credentials). Le rapport lie chaque résultat aux documents MDN pertinents et à la feuille de triche OWASP. Un piège courant : définir à la fois `X-Frame-Options: DENY` et `Content-Security-Policy: frame-ancestors 'none'` est redondant mais pas faux — `frame-ancestors` l'emporte sur les navigateurs modernes, X-Frame-Options reste pour l'héritage. CSP `'unsafe-inline'` dans `script-src` contredit la politique de protection XSS ; signalé comme Échoué même si le reste de CSP est solide. ## Pourquoi les en-têtes de sécurité HTTP comptent Les en-têtes de sécurité manquants sont la découverte la plus courante dans les tests de pénétration car ils sont invisibles : un site peut servir le HTML correct et échouer quand même un audit car les en-têtes de réponse sont faux. PCI DSS 4.0 (mars 2025), les critères des services de confiance SOC 2 et la norme ISO 27001:2022 Annex A 8.26 signalent tous CSP / HSTS / X-Frame-Options manquants comme des lacunes de contrôle. Le coût de la réparation est une ligne dans votre proxy inverse (`add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;` dans nginx, un bloc dans les en-têtes `vercel.json`, trois lignes dans Cloudflare Workers) — mais non découvert jusqu'à ce qu'un auditeur ou un billet de sécurité d'un concurrent ne le révèle. La vérification des en-têtes intégrée à CI détecte les régressions : un déploiement qui bascule votre CSP de `default-src 'self'` à `default-src *` parce que quelqu'un déboguant a copié-collé la mauvaise règle. Exécuter les en-têtes via ce vérificateur avant de fusionner la PR de déploiement détecte le différentiel. _SEO title: Vérificateur d'en-têtes de sécurité HTTP – Mode coller | TeaFun_ ## FAQ ### Puis-je coller les en-têtes de localhost ou de préproduction ? Oui. Cet outil est conçu pour le mode coller, ce qui vous permet d'examiner les en-têtes depuis localhost, un environnement de préproduction interne ou tout environnement privé sans exposer l'URL. ### Pourquoi ne pas récupérer directement l'URL ? Récupérer une URL échouerait pour de nombreux environnements privés et pourrait divulguer des points d'accès internes. Le mode coller garde le flux privé et fonctionne partout où curl ou les DevTools du navigateur peuvent copier les en-têtes. ### Un score élevé garantit-il la sécurité ? Non. Le vérificateur met en évidence les en-têtes de réponse courants et les erreurs de configuration fréquentes, mais il ne s'agit pas d'un audit de sécurité applicatif complet.